Tesis

UNIVERSIDAD POLITCNICA
SALESIANA.
Sede Matriz Cuenca.
Facultad de Ingenieras.
Carrera de Ingeniera De Sistemas.
TEMA:
Diseo de un Manual de Polticas de
Seguridad para el Laboratorio de Internet
de la Universidad Politcnica Salesiana Sede
Cuenca, basado en el Estndar ISO 17799.
Tesina Previa a la Obtencin

del ttulo de Ingeniero de Sistemas.
AUTORES:
Paola Alicia Glvez Palomeque.

Ma. del Carmen Vsquez Calle.
DIRECTOR:
Ing. Miguel ngel Ziga P.
CUENCA ECUADOR.
2007.
Certifico que bajo mi direccin se desarroll

el proyecto: Diseo de un Manual de
Polticas de Seguridad para el Laboratorio
de Internet de la Universidad Politcnica
Salesiana Sede Cuenca, basado en el
Estndar ISO 17799, elaborado por los
estudiantes: Paola Glvez y Mara del
Carmen Vsquez.
(f)__________________
Ing. Miguel ngel Ziga P.
Los conceptos desarrollados, anlisis realizados

y las conclusiones del presente trabajo, son de
exclusiva responsabilidad de las autoras.
Cuenca, 15 de Febrero del 2007.
(f)_______________________
Paola A. Glvez P.
(f)_______________________
Maria del Carmen Vsquez C.
INDICE
CAPITULO I
Plan de Tesis
1. Objetivos
1.1. Objetivo general
1.2. Objetivos especficos
2
2
2
2. Introduccin
3. Antecedentes
4. Justificacin
5. Descripcin del problema
CAPITULO II
Conceptos de Polticas de Seguridad
1. Definicin
1.1. Definiciones del trmino Poltica de Seguridad
1.2. Nuestra definicin del trmino Poltica de Seguridad
2. Definicin de una Poltica de Seguridad
2.1. Anlisis de Riesgos
2.1.1. Procedimiento del Anlisis de Riesgo
a. Descripcin y Anlisis de la Situacin Actual
b. Identificacin de activos
c. Tasacin de los activos
d. Definicin de Factores de riesgos y asignacin de
probabilidades
e. Descripcin de consecuencias y medidas existente
f .Clculo de niveles de vulnerabilidad
g. Conclusiones
3. Seleccin de Estndar de Normalizacin
3.1. Estndares de Normalizacin
3.1.1. RFC 2196
3.1.2. BS7799
7
7
8
9
9
9
10
10
11
11
11
12
12
13
13
13
15
3.1.3. ISO 17799

3.2. Seleccin
16
17
CAPITULO III
Estndar ISO 17799
1. Introduccin
20
2. Objeto y Campo de Aplicacin
20
3. Secciones
21
4. Conceptos Aplicados del Estndar

4.1. Poltica de Seguridad
411 Poltica de Seguridad de la Informacin
4.2. Clasificacin y control de activos
421 Inventario de activos
4.3. Evaluacin de los riesgos de seguridad
4.4. Seguridad de los equipos
4.4.1. Instalacin y proteccin de equipos
4.4.2. Suministro elctrico
4.4.3. Seguridad del cableado
4.4.4. Mantenimiento de equipos
22
22
22
23
23
24
25
25
27
27
28
CAPITULO IV
Diseo del Plan de Seguridad
1. Alcances
30
2. Descripcin y Anlisis de la Situacin Actual

2.1. Descripcin de la Situacin Actual
2.1.1. Mantenimiento
Mantenimiento Fsico
Mantenimiento Lgico
2.1.2. Estrategias de Seguridad
Estrategias Fsicas
Estrategias Lgicas
2.2. Anlisis de Seguridad
2.2.1. Anlisis de la Situacin Actual
2.2.1.1. Listas de Chequeo de Seguridad Fsica y Lgico
2.2.1.2. Resultados del Anlisis de Seguridad
2.2.1.2.1. rea Administrativa
2.2.1.2.2. rea de Seguridad y Acceso Lgico
2.2.1.2.3. rea de Continuidad de Operaciones
30
31
46
46
46
49
49
50
51
51
52
56
56
57
58
2.2.1.2.4. rea Seguridad y Acceso Fsico

3. Anlisis de Riesgos de Seguridad
3.1. Identificacin de Activos
3.1.1. Metodologa de las Elipses
3.1.1.1. Principales Activos identificados
3.2. Tasacin de Activos
3.3. Identificacin de Factores de Riesgo
3.4. Posibles Consecuencias y medidas existentes
3.5. Clculo de nivel de Vulnerabilidad
3.6. Nivel de Vulnerabilidad
3.7. Anlisis de Importancias
3.8. Conclusiones
58
59
59
60
61
62
63
65
74
82
83
85
CAPITULO V
Manual de polticas de seguridad para el Laboratorio de Internet de la
Universidad Politcnica Salesiana Sede Cuenca
1. Definicin
88
2. Propsito
88
3. A quienes va dirigido
3.1. Usuarios
3.2. Personal Encargado del Laboratorio de Internet
89
4. Polticas de Seguridad
4.1. Dirigido a los Usuarios del Laboratorio de Internet
4.2. Dirigido al personal Encargado del Laboratorio de Internet
90
CONCLUSIONES Y RECOMENDACIONES
Conclusiones
Recomendaciones
89
89
90
91
96
96
97
BIBLIOGRAFA
Bibliografa
100
GLOSARIO
Glosario
102
ANEXOS
Anexos
105
CAPITULO I
Plan de Tesis.
1. Objetivos.
1.1 Objetivo general.
Disear un Manual de Poltica de Seguridad para el Laboratorio de Internet de la
Universidad Politcnica Salesiana Sede Cuenca, basado en el estndar ISO
17799.
1.2 Objetivos especficos.

Adquirir conocimientos acerca de las polticas de seguridad y sobre el
Estndar ISO 17799.
Realizar un anlisis sobre la situacin actual en la que se encuentra el

laboratorio de Internet de la UPS sede Cuenca.
Disear un plan de seguridad a travs de un anlisis de riesgos del

laboratorio.
Disear polticas de seguridad tanto fsicas como lgicas apropiadas para

dar cumplimiento al plan de seguridad planteado.
2. Introduccin.
En la actualidad las organizaciones que trabajan con cualquier tipo de entorno
informtico, ya sean desde pequeas empresas, hasta grandes organizaciones de
mbito internacional, se ven en la necesidad de preocuparse de su seguridad.
Sin lugar a dudas una de las herramientas que con el pasar del tiempo se ha
convertido en una necesidad de la mayora de organizaciones es la Internet. La
posibilidad de utilizar esta tecnologa, ha permitido abrir nuevos horizontes a las
empresas para mejorar su productividad pero al mismo tiempo ha trado consigo, la
aparicin de riesgos provocando as la necesidad de considerar la POLITICA DE
SEGURIDAD.
Dichas polticas son esencialmente orientaciones e instrucciones que indican cmo

manejar los asuntos de seguridad y forman la base de un plan para la implantacin
efectiva de medidas de proteccin.
El diseo de las polticas puede estar orientado a diferentes audiencias, en cuyo caso
es necesario redactar documentos diferentes de acuerdo al tipo de audiencia.
La estimacin preliminar de los riegos es el punto de partida para el establecimiento

de polticas ya que ayudar a definir la naturaleza de las amenazas que podran
afectar la integridad tanto de la informacin como de los equipos en los cuales se
almacena.
3. Antecedentes.
En estos ltimos aos con el gran auge que han adquirido las redes y las
Telecomunicaciones, el termino Seguridad Informtica ha adquirido mayor
relevancia en nuestro entorno, y mucho mas cuando se trata del acceso a Internet, lo
cual ha generado polmica debido a que tanto su acceso como el negarse al mismo
causa severos inconvenientes para las empresas. Este problema se agudiza mucho
mas si se trata de instituciones educativas en donde no se puede concebir el no
acceder al Internet, las razones son obvias, Internet, desarrollo e investigacin van de
la mano, y actualmente imprescindibles en el da a da de las Instituciones
Universitarias.
La Universidad Politcnica Salesiana, institucin educativa de gran trayectoria, que

viene prestando su servicio por mas de una dcada a los/las jvenes ecuatorianos(as)
no poda quedarse atrs y desde hace mas de 5 aos ha implementado un Laboratorio
de Internet para ofrecer este servicio en aras del bienestar y desarrollo de los
estudiantes.
Pero el crecimiento de las redes junto con la globalizacin mundial ha ocasionado

que el acceso a Internet se convierta cada da en una batalla. Lo que obliga a las
organizaciones a tomar medidas de seguridad cada vez ms complejas, y una de estas
es la elaboracin de Polticas de Seguridad que se ajusten a las necesidades
especficas del rea a la cual estn dirigidas.
4. Justificacin.
La Universidad Politcnica Salesiana, a travs del Laboratorio de Internet presta un
servicio de vital importancia a los estudiantes y docentes ya que a travs del mismo
se dispone de una fuente de investigacin y consulta tan necesaria para el
cumplimiento de sus tareas acadmicas, el cual se ve amenazado por el mal uso que
hacen algunos estudiantes.
Creemos que es necesario contribuir en la mejora de lineamientos y tcticas basados

en nuevos estndares que ayuden a
preservar la seguridad fsica y lgico del
laboratorio de Internet.
Es por esta razn que se ha visto la necesidad de disear un Manual de Polticas de

Seguridad para el Laboratorio de Internet de la Universidad Politcnica Salesiana,
que sirva para ofrecer una mayor confianza en el servicio que el mismo presta a los
estudiantes basndose en los principios bsicos de seguridad como son:
Confidencialidad, Integridad, Disponibilidad, y en un estndar internacionalmente
conocido como es el ISO 177999.
5. Descripcin del problema.

El laboratorio de Internet de la UPS sede Cuenca producto de la falta de polticas y
control del cumplimiento de las mismas, podra presentar los siguientes riesgos:
Perdida de partes de HW o dao en el software del equipo.
Acceso al servicio de usuarios no autorizados, y que son ajenos a

la universidad.
Perdida de productividad debido al uso no relacionado con temas

acadmicos.
Inconformidad en los estudiantes que necesitan y no pueden

acceder al servicio debido a que las computadoras se encuentran
ocupadas por estudiantes que realmente no las necesitan.
En base a los riesgos mencionados anteriormente creemos que es importante

considerar mecanismos de control y proteccin que contribuyan al buen uso de los
recursos a travs del desarrollo de un Manual de Polticas de Seguridad para el
Laboratorio de Internet.
CAPITULO II
Conceptos de Polticas de Seguridad.
1. Definicin.
1.1 Definiciones del trmino Poltica de Seguridad.
Una poltica de la seguridad es una declaracin formal de las reglas que deben
ser seguidas por las personas que acceden a la tecnologa y los activos de
informacin de la organizacin. 1
RFC 2196.
El trmino poltica de seguridad se suele definir como el conjunto de requisitos

definidos por los responsables directos o indirectos de un sistema que indica en
trminos generales qu est y qu no est permitido en el rea de seguridad
durante la operacin general de dicho sistema.2
ISO.
1
2
B. Fraser, RFC 2196, 1997

Technical Report 97 7498-2, ISO/TC, 1988
Una poltica de la seguridad es una declaracin formal de las reglas con las
cuales se da acceso a las personas a la tecnologa, al sistema y a los activos de
informacin de una organizacin. La poltica de seguridad define qu negocio y
metas de seguridad y objetivos de administracin desea la gerencia, pero no
cmo se dirigen y se ponen en ejecucin estas soluciones.3
Sun BluePrints.
1.2
Nuestra definicin de Poltica de Seguridad
Una poltica de seguridad es una manifestacin clara y precisa de lo que esta

permitido y de lo que no esta permitido realizar dentro de sistema informtico,
plasmado en un documento con un orden y una sistematizacin.
2. Definicin de una Poltica de Seguridad

Antes de definir una poltica de seguridad se debe tener presente dos reglas
bsicas:
La primera regla y la ms importante es que toda poltica de seguridad debe de
ser holstica. Esto es, debe cubrir todos los aspectos relacionados con la misma.
Joel Weise, Sun BluePrints, 2001
La segunda regla importante: la poltica debe adecuarse a nuestras necesidades

y recursos.4
Si una poltica de seguridad debe adecuarse a las necesidades y recursos es

primordial para la elaboracin de la misma hacer una Anlisis de Riesgos, ya que
solo a travs de este podremos establecer qu es lo que se desea proteger, por qu
y cul es su valor, as como de quin se desea proteger.
2.1 Anlisis de Riesgos

Este es un procedimiento que cuyos resultados constituyen una gua para poder
tomar dediciones sobre que controles o procesos de seguridad sern los mas
apropiados.5
El anlisis que desarrollaremos tendr el propsito de determinar cules de los

activos que intervienen en el acceso a Internet del Laboratorio, cuales tienen
mayor vulnerabilidad ante factores que puedan afectarlos, identificando sus
causas, calculando la probabilidad de su ocurrencia y evaluando sus probables
efectos.
2.1.1 Procedimiento del Anlisis de Riesgo.

Para la realizacin del anlisis de riesgos es necesario seguir los siguientes pasos:
Poltica de Seguridad , www.Rediris.es , 2000.

Fernando Aparicio, Anlisis y Gestin de Riesgo, 2005.
a. Descripcin y Anlisis de la Situacin Actual.

Para la realizacin de un anlisis eficaz es vital hacer un reconocimiento
completo del sistema en donde se aplicaran las polticas desde el punto de vista
de la seguridad informtica tanto fsica como lgica. La descripcin de la
situacin actual nos permite conocer:
Cuales son los recursos que posee la organizacin hardware y software,

su estado y como se lleva su mantenimiento.
Cuales son sus estrategias de seguridad actuales.
Finalmente con el anlisis de seguridad se puede establecer como estn

funcionando las medidas de seguridad y las falencias que pueden tener, para
hacer este anlisis de un modo ordenado es til dividir a la organizacin en
diferentes reas.
Este proceso se lo puede realizar con la elaboracin de Listas de chequeo (Cfr.

Infra).
b. Identificacin de activos.
Un activo de informacin, es un componente o parte de un sistema total, al cual
la organizacin directamente le asigna valor, y por ende la organizacin requiere
su proteccin.
En la identificacin de activos se determina cuales son los distintos activos

fsicos y de software de la organizacin, generando as un inventario de los
mismos. Este paso es de gran importancia pues de este depender un desarrollo
seguro de las dems fases.
10
c. Tasacin de los activos.

Una vez identificados los activos sujetos a la revisin, se deben asignar valores a
los Activos. Estos valores deben representar la importancia que tienen los activos
para la Empresa, es decir que deben clasificarse segn el impacto que sufrira la
organizacin si faltase o fallara tal activo, desde un punto de vista subjetivo.
d. Definicin de Factores de riesgos y asignacin de probabilidades.

El riesgo no es ms que la estimacin de la probabilidad de que una amenaza se
produzca. Estas amenazas tienen el potencial de daar los activos. Si una
amenaza ocurre podra causar un incidente indeseado y generar impactos
adversos.
e. Descripcin de consecuencias y medidas existente.

Se especifica las consecuencias que podra sufrir la organizacin si los activos
son afectados por sus respectivos factores de riesgo, explicando la manera en que
se protege al activo contra ese ataque en particular, y puntualizando en qu grado
son efectivas estas medidas y acto seguido se listaron los factores de riesgo
relevantes a los pueden verse sometidos cada uno de los activos arriba
nombrados.
11
f. Clculo de niveles de vulnerabilidad.

Una vez identificados los riesgos, se procede a su anlisis y con toda la
informacin recolectada es posible determinar cual es el nivel de vulnerabilidad
que se asocia con cada activo listado. Este clculo se realiza en base a tres
parmetros:
Probabilidad de ocurrencia.
Porcentaje de probabilidad del riesgo.
Nivel de vulnerabilidad.
El clculo de estos valores es explicado claramente en captulos posteriores (Cfr.

Infra).
g. Conclusiones.
Finalmente a partir de las actividades anteriormente descriptas se puede evaluar
la situacin actual de la empresa en relacin a los incidentes que pueden
afectarla, identificando cuales son los activos que estn en mayor riego y que por
lo tanto merecen mayor atencin y control.
12
3. Seleccin de Estndar de Normalizacin.

3.1
Estndares de Normalizacin.
Los principales estndares conocidos para la normalizacin de las Polticas de

Seguridad son:
RFC 2196
BS7799
ISO 17799
A continuacin exponemos a breves rasgos cada uno de ellos.
3.1.1
RFC 2196.
Este manual es una gua para establecer polticas y

procedimientos de seguridad informtica para sitios que
tienen sistemas en el Internet []. Esta gua enumera los
problemas y los aspectos que un sitio debe considerar al fijar
sus propias polticas. Hace un nmero de recomendaciones y
proporciona discusiones de reas relevantes. 6
El RFC 2196, llamado Site Security Handbook
es un manual se
seguridad que se puede obtener gratuitamente en Internet, y puede ser

utilizado como estndar para establecer Polticas de Seguridad. Este manual
fue escrito por varios autores y fue publicado en Septiembre de 1997, y a
pesar de tener varios aos, por sus contenidos y la temtica que trata es un
documento vigente y valido en el rea de la Seguridad Informtica.,
B. Fraser, RFC 2196 1997
13
Este documento trata entre otros, los siguientes temas:
a. Polticas de Seguridad
1. Que es una Poltica de Seguridad y porque es necesaria.
2. Que es lo que hace que una Poltica de Seguridad sea

buena.
3. Manteniendo la Poltica Flexible.
b. Arquitectura de Red y de Servicios
1. Configuracin de Red y de Servicios.
2. Firewalls.
c. Servicios y Procedimientos de Seguridad
1. Autentificacin
2. Confidencialidad.
3. Integridad.
4. Autorizacin.
5. Acceso
6. Auditoria
14
d. Gestin de Incidentes de Seguridad
1. Notificacin y puntos de contacto
2. Identificando un Incidente
3. Gestin de un Incidente
4. Consecuencias de un Incidente
5. Responsabilidades.
3.1.2
BS7799
Este estndar fue publicado por primera vez en 1995 por el British Standards
Institute (BSI), y titula Code of practice for information security
management (Cdigo de practicas para la administracin de la seguridad de
la informacin) , y fue escrito por el United Kingdom Government's
Department of Trade and Industry (DTI) del Reino Unido, esta se convertira
tan solo la Primera Parte del BS 7799, ya que despus de 4 aos, en 1999, una
segunda parte del BS 7799 fue publicada por el BSI, titulada como
"Information Security Management Systems - Specification with guidance for
use". Y aos ms tarde, en el 2005, una tercera parte de este estndar era
divulgada, esta publicacin basa sobre el tema del anlisis y administracin
de Riesgos.
Este estndar aborda temas como:
a.
Polticas de Seguridad.
15
b.
Seguridad de la Organizacin.
c.
Clasificacin y Control de activos.
d.
Personal de Seguridad.
e.
Seguridad fsica y del entorno.
f.
Comunicacin y administracin de operaciones.
g.
Control de acceso.
h.
Desarrollo de Sistemas y mantenimiento.
i.
Administracin de la continuidad del negocio.
Este modelo, el BS 7799- Parte 1, despus de varas revisiones fue finalmente

adoptado por la ISO como el estndar ISO/IEC 17799, el cual es conocido
como la versin internacionalizada de la BS7799.
3.1.3
ISO 17799
Este estndar fue publicado en el ao 2000 por la ISO (International

Organization for Standardization).
16
El ISO 17799 puede definirse como una gua para la implementacin de

sistemas de administracin de la seguridad de la informacin, que se orienta a
preservar
los
principales
principios
de
la
seguridad
informtica:
Confidencialidad, Integridad y Disponibilidad.
Este estndar es internacionalmente conocido y ah sido adoptado por un

sinnmero de organizaciones para garantizar la seguridad de la informacin, y
ha sido el escogido como base para nuestro Proyecto de Tesis. No
ahondaremos mas aqu sobre este tema, porque a continuacin hay un
capitulo dedicado a la norma ISO 17799.
3.2
Seleccin.
Para realizar la seleccin del estndar mas adecuado para nuestro proyecto
establecemos esta tabla comparativa:
Parmetros
RFC 2196
BS7799
ISO 17799
Contenidos
Polticas de Seguridad
Si
Si
Si
Administracin de Activos
No
Si
Si
Categora
Manual
Estndar
Estndar
Fecha de Publicacin
1997
1995
2005
Internet
British
Organizacin que publica
Engineering Standards
Task Force
Institute
(IETF)
(BSI)
Cuadro 1.1
Fuente: Las autoras.
17
International
Organization
for
Standardization
(ISO)
El estndar seleccionado para nuestro proyecto de Tesina es el ISO 17799 porque el

mismo es el ms vigente de los existentes. Adems fue publicado por la ISO que es
un organismo de prestigio internacional con basta experiencia en la creacin
estndares de procesos para las organizaciones. Adems la ISO es una organizacin
que peridicamente se encarga de revisar y mejorar sus estndares para estar a la
vanguardia de la situacin actual.
18
"
"
# "
"
#
19
CAPITULO III
Estndar ISO/IEC 17799.
1. Introduccin
La Norma Internacional ISO/IEC 17799 fue elaborada por el British Standards
Institution (como BS 7799), y fue adoptada por el procedimiento especial de "fasttrack"7, por el Comit Tcnico conjunto ISO/IEC JTC 1, Tecnologa de la
Informacin, en paralelo con la aprobacin de los organismos nacionales miembros
de ISO y CEI.
Esta norma fue publicada en Diciembre del ao 2000 y fue aceptado como estndar
en el ao 2001.
2. Objeto y Campo de Aplicacin

Esta norma ofrece recomendaciones para realizar la gestin de la seguridad de la
informacin que pueden utilizarse por los responsables de iniciar, implantar o
mantener la seguridad en una Organizacin. Persigue proporcionar una base comn
para desarrollar normas de seguridad dentro de las organizaciones y ser una prctica
eficaz de la gestin de la seguridad, as como proporcionar confianza en las
relaciones entre organizaciones. Las recomendaciones que se establecen en esta
norma deberan elegirse y utilizarse de acuerdo con la legislacin aplicable en la
materia. 8
Procedimiento acelerado para la adopcin de una norma internacional.

BS ISO/IEC 17799:2000; Information technology - Code of practice for information security
management
20
3. Secciones
El estndar BS ISO/IEC 17799 posee 10 secciones:
i. Poltica de Seguridad
ii. Aspectos organizativos para la seguridad
iii. Clasificacin y control de activos
iv. Seguridad ligada al personal
v. Seguridad fsica y del entorno
vi. Gestin de comunicaciones y operaciones
vii. Control de accesos
viii. Desarrollo y mantenimiento de sistemas
ix. Gestin de continuidad del negocio
x. Conformidad
21
4. Conceptos Aplicados del Estndar.

4.1 Poltica de Seguridad.
4.1.1 Poltica de Seguridad de la Informacin.
OBJETIVO: Dirigir y dar soporte a la gestin de la seguridad de

la informacin.
La Direccin debera establecer de forma clara las lneas de la

poltica de actuacin y manifestar su apoyo y compromiso a la
seguridad de la informacin, publicando y manteniendo una
poltica de seguridad en toda la Organizacin.9
Las polticas de seguridad son la herramienta fundamental para mantener un

sistema seguro y sin esta cualquier plan de Seguridad tiene graves riesgos de
fracasar. Pero una poltica que exista solo en papeles no servir para conseguir
los objetivos de seguridad ya que toda poltica debe ser debidamente divulga y
respetada.
Una poltica de seguridad de la informacin jams debera convertirse en la nica

estrategia para preservar la seguridad de la informacin.
Cdigo de buenas prcticas para la Gestin de la Seguridad de la Informacin 3.1, ISO/IEC

17799, 2000
22
4.2 Clasificacin y control de activos.

4.2.1 Inventario de activos.
Los inventarios de los activos ayudan a asegurar que se inicia su
proteccin eficaz, pero tambin se requiere para otros
propsitos de la Organizacin, por razones de prevencin
laboral, plizas de seguros o gestin financiera. El proceso de
constituir el inventario de activos es un aspecto importante de la
gestin de riesgos.
Una Organizacin tiene que poder identificar sus activos y su

valor e importancia relativos. Sobre la base de esta informacin
la Organizacin puede proporcionar niveles de proteccin
proporcionales a dicho valor e importancia. [...] Por ejemplo,
stos son activos asociados con los sistemas de informacin:
a) activos de informacin: ficheros y bases de datos,

documentacin del sistema, manuales de los usuarios, material
de formacin, procedimientos operativos o de soporte, planes de
continuidad, configuracin del soporte de recuperacin,
informacin archivada;
b) activos de software: software de aplicacin, software del

sistema, herramientas y programas de desarrollo;
c) activos fsicos: equipo de tratamiento (procesadores,

monitores, porttiles, mdems), equipo de comunicaciones
(routers,
centrales digitales, mquinas de fax),
medios
magnticos (discos y cintas), otro equipo tcnico (suministro de

energa, unidades de aire acondicionado), muebles, etc.
23
d) servicios: servicios de tratamiento y comunicaciones,

servicios generales (calefaccin, alumbrado, energa, aire
acondicionado).10
4.3 Evaluacin de los riesgos de seguridad

Los requisitos de seguridad se identifican mediante una
evaluacin metdica de los riesgos. [] Las tcnicas de
evaluacin de riesgos pueden aplicarse a toda la Organizacin,
slo a partes de ella o incluso a sistemas de informacin
individuales, a componentes especficos de sistemas o a servicios
dnde sea factible, realista y til.
[]
Los resultados de sta evaluacin ayudarn a encauzar y

determinar una adecuada accin gerencial y las prioridades
para gestionar los riesgos de seguridad de la informacin, y la
implantacin de los controles seleccionados para proteger
contra dichos riesgos. [].
Es importante, efectuar revisiones peridicas de los riesgos de

seguridad y de los controles implantados para:
a) tener en cuenta los cambios de los requisitos y las prioridades

de negocio de la Organizacin;
10
Cdigo de buenas prcticas para la Gestin de la Seguridad de la Informacin 5.1.1, ISO/IEC

17799, 2000
24
b) considerar nuevas amenazas y vulnerabilidades;
c) confirmar que las medidas de control siguen siendo eficaces y

apropiadas.
Deberan realizarse estas revisiones con distintos niveles de

detalle dependiendo de los resultados de las evaluaciones
previas y de los umbrales de riesgo que la Direccin est
dispuesta a aceptar. Se suelen realizar las evaluaciones de
riesgo primero a alto nivel, como un medio de priorizar recursos
en reas de alto riesgo, y despus en un nivel ms detallado para
enfocar riesgos especficos.11
4.4 Seguridad de los equipos

4.4.1 Instalacin y proteccin de equipos.
El equipo debera situarse y protegerse para reducir el riesgo de
amenazas del entorno, as como las oportunidades de accesos no
autorizados. Se deberan considerar los siguientes controles:
a) Los equipos se deberan situar dnde se minimicen los

accesos innecesarios a las reas de trabajo.
[]
d) Se deberan adoptar medidas para minimizar los riesgos de

posibles amenazas como las siguientes:
11

17799, 2000
25
1) robo;
2) incendio;
3) explosivos;
4) humo;
[]
e) La Organizacin debera incluir en su poltica cuestiones

sobre fumar, beber y comer cerca de los equipos de tratamiento
de informacin.
f) Se deberan vigilar las condiciones ambientales que puedan

afectar negativamente al funcionamiento de los equipos de
tratamiento de informacin.
[]
h) Se deberan considerar los impactos de desastres que puedan

ocurrir
en
lugares
prximos,
tanto
vertical
como
horizontalmente, por ejemplo el incendio en el edificio vecino,

fugas de agua en pisos superiores o una explosin en la calle.12
12
Cdigo de buenas prcticas para la Gestin de la Seguridad de la Informacin, ISO/IEC 17799,

2000
26
4.4.2 Suministro elctrico.

Se deberan proteger los equipos contra fallos de energa u otras anomalas
elctricas. Debera garantizarse un suministro elctrico adecuado que cumpla con
las especificaciones de los fabricantes de equipos.13
4.4.3 Seguridad del cableado

Se debera proteger contra interceptacin o daos el cableado
de energa y telecomunicaciones que porten datos o soporten
servicios de informacin. Se deberan considerar los siguientes
controles:
a) Las lneas de energa y telecomunicaciones en las zonas de

tratamiento de informacin, se deberan enterrar, cuando sea
posible, o adoptarse medidas alternativas de proteccin.
b) La red cableada se debera proteger contra intercepciones no

autorizadas o daos, por ejemplo, usando conductos y evitando
rutas a travs de reas pblicas.
c) Se deberan separar los cables de energa de los de

comunicaciones para evitar interferencias.14
13

17799, 2000
14
17799, 2000
27
4.4.4 Mantenimiento de equipos

Los equipos deberan mantenerse adecuadamente para asegurar
su continua disponibilidad e integridad. Los controles siguientes
deberan ser considerados:
a) Los equipos se deberan mantener de acuerdo a las

recomendaciones de intervalos y especificaciones de servicio del
suministrador.
b) Slo el personal de mantenimiento debidamente autorizado

debera realizar la reparacin y servicio de los equipos.
c) Se deberan registrar documentalmente todos las fallos, reales

o sospechados, as como todo el mantenimiento preventivo y
correctivo.
d) Se deberan adoptar las medidas adecuadas cuando se enven

los equipos fuera de las instalaciones, para su mantenimiento. Se
deberan cumplir todos los requisitos impuestos por las polticas
de los seguros.15
15

17799, 2000
28
29
&
"
CAPITULO IV
Diseo del Plan de Seguridad.
1. Alcances.
El alcance de este Plan de Seguridad se encuentra enfocado al Laboratorio de
Internet de la Universidad Politcnica Salesiana Sede Cuenca, y en el servicio de
acceso a Internet que este presta a los usuarios, en los aspectos que consideramos
ms relevantes del mbito fsico y lgico, en funcin del anlisis previamente
realizado.
Hemos escogido el Laboratorio de Internet porque es un rea con la cual nos

hemos visto diariamente involucrados durante toda nuestra vida universitaria y
que por lo tanto conocemos de su operacin y funcionamiento.
2. Descripcin y Anlisis de la Situacin Actual.

Para la realizacin de esta fase de Descripcin y Anlisis hemos arrancado con
una serie de entrevistas a el Coordinador de Salas de Computo y Laboratorio de
Internet
y a Personal del Departamento de Sistemas de la Universidad
Politcnica Salesiana Sede Cuenca, quienes nos han proporcionado la

informacin necesaria para la realizacin de nuestro proyecto, adems hemos
realizado nuestras propias conclusiones obtenidas a travs de la observacin y la
implicacin que representa el hecho de haber sido usuario de sus servicio durante
varios aos.
30
2.1 Descripcin de la Situacin Actual.

La Universidad Politcnica Salesiana implemento el Laboratorio de Internet con
el fin de poner a disposicin de sus estudiantes y docentes una fuente de
investigacin y consulta que sea de ayuda en el cumplimiento de sus tareas
acadmicas.
Actualmente el Coordinador de Salas de Computo, es el responsable de las salas

de cmputo disponibles y el Laboratorio de Internet, y junto a cuatro asistentes,
quienes trabajan en diferentes horarios, son los encargados del mantenimiento y
control de las mismas.
El Laboratorio de Internet dispone de 31 equipos de cmputo distribuidos de la

siguiente manera:
Maquina administrador (1).
Caractersticas de Hardware:
Procesador Celeron de 1,7 GHz.
Memoria 256 MB de memoria RAM.
Disco Duro 60 GB
Caractersticas de Software
Windows XP (Services Pack 2).
Ciber Control 4.0 PRO.
FSecure Anti-Virus Cliente 6.03

31
MS Office Profesional 2003.
WinRar 3.62.
IExplorer 7.
Mozilla 2.0.
Adobe Reader 7.0.8.
Maquinas clientes que prestan el servicio de acceso a Internet (30).

Caractersticas de Hardware:
Tipo 1 (10)
Pentium IV
Procesador Celeron de 1,7 GHz.
Memoria RAM 256 MB.
Disco Duro 60 GB
Tipo 2 (20)
Pentium III 700
Memoria RAM 192MB
Disco Duro 60 GB
32
Caractersticas de Software
Windows XP (Services Pack 2).
CiberPuesto 4.0.
FSecure Anti-Virus Cliente 6.03
MS Office Profesional 2003.
WinRar 3.62.
IExplorer 7.
Mozilla 2.0.
Adobe Reader 7.0.8.
A continuacin profundizaremos en las caractersticas del software ms

relevante, como es el Antivirus FSecure y el Software CiberControl:
a. Software FSecure Anti-Virus v 6.03

FSecure es un software antivirus que entre sus principales caractersticas posee:
33
Proteccin antivirus y Spyware
Anlisis en tiempo real y programado.
Bloqueo de ventanas emergentes
Deshabilita configuraciones en Internet Explorer.
Protege al ordenador frente a cambios indeseados del sistema, por

ejemplo, si algn tipo de malware trata de modificar sus parmetros del
sistema cuando se navega o consulta el correo electrnico.
Contrafuegos (Firewall)
Esta funcin hace posible gestionar las reglas del firewall definidas por el
usuario y revisar las reglas que se cumplen. Para el Laboratorio de Internet en
la maquina administrador del FSecure se configuran las siguientes reglas:
Trfico
Accin
Salida de trafico TCP y UDP
Permitir
Entrada de Mensajes ICMP restringidos
Permitir
Revisar y compartir archivos desde la subred local
Permitir
Entrada de sondeos maliciosos

(Blaster, Back Orifice, NetBus, Bagle.C, Bagle.Y,
Blaster, Dabber, Kuang2, MyDoom, MyDoom.B,
Negar y Alertar
PhatBot, Sasser server).

Revisar y compartir archivos.
Negar
Acceso remoto a servicios locales vulnerables.
Negar
Negar el resto
Cuadro 4.1
Fuente: Ing. Patricio Jimnez, Departamento de Sistemas de la UPS Sede

Cuenca.
34
Control de aplicaciones
Este software permite ver, modificar o aadir permisos para que una
aplicacin pueda enviar y recibir trfico de red. En el Laboratorio de Internet
solo se permite el trfico para las siguientes aplicaciones:
Aplicacin
Archivo
Acrobat.exe
AcroRd32.exe
ADOBEU~1.EXE
acad.exe
agent.exe
java.exe
javaw.exe
JRE-1_~1.EXE
LabVIEW.exe
Ad-Aware.exe
Director.exe
DREAMW~1.EXE
FIREWO~1.EXE
GetFlash.exe
Flash.exe
iexplore.exe
EXCEL.EXE
OUTLOOK.EXE
POWERPNT.EXE
WINPROJ.EXE
VISIO.EXE
WINWORD.EXE
msimn.exe
mspaint.exe
wordpad.exe
NEROST~1.EXE
NEROST~1.EXE
tnsping.exe
perl.exe
putty.exe
QUICKT~1.EXE
Acrobat Reader
Acrobat Reader
Adobe Update Manager
AutoCAD.
Cyberlink Power VCR
Java Sun Microsystems.
LabView
Lavasoft Ad-Aware
Macromedia Director
Macromedia Dreamweaver.
Macromedia Fireworks
Macromedia Flash Player Updater
Macromedia Flash.
Microsoft Internet Explorer.
Microsoft Office Excel.
Microsoft Office Outlook.
Microsoft Office PowerPoint.
Microsoft Office Project.
Microsoft Office Visio.
Microsoft Office Word.
Microsoft Outlook Express.
Microsoft Paint.
Microsoft WordPad.
Nero StartSmart
Nero StartSmart
Oracle
Perl
Putty
QuickTime
35
Radmin Viewer
RoLegent
Servidor Web Apache
SICAL
SQLTools
Telnet
Utilidad TCP/IP
WinSCP3
WinSCP3
WinZip.
WS_FTP Pro Application
radmin.exe
rol.exe
Apache.exe
Asistencia.exe
SQLTools.exe
telnet.exe
ping.exe
WinSCP3.exe
WINSCP~1.EXE
winzip32.exe
wsftppro.exe
Cuadro 4.2
Fuente: Patricio Jimnez, Departamento de Sistemas de la UPS Sede Cuenca
Proteccin contra intrusos
FSecure analiza el trfico de red entrante buscando determinados patrones

que indican que se est produciendo un ataque de red. En el caso del
Laboratorio de Internet se registran todos los accesos sospechosos y se
restringen en base a los parmetros establecidos en el firewall, vase en el
Cuadro 4.1.
Actualizaciones automticas
El antivirus se actualiza peridicamente e incluso varias veces al da en el

Laboratorio de Internet, como pudimos constatar al revisar el Antivirus desde
las PCs del Laboratorio, donde se observo que el antivirus haba sido
actualizado tan solo unos pocos segundos antes de nuestra revisin:
36
b. Software CiberControl versin 4

CiberControl es un programa diseado para el funcionamiento y la gestin de
cibercentros.
Este sistema se divide en dos partes:
Programa servidor ( CiberControl 4.0 PRO) desde donde se controlan los

puestos del cibercentro y el programa cliente ( CiberPuesto 4.0) instalado en
cada puesto cliente.
CiberControl 4.0
Tiene las siguientes caractersticas:
Bloqueo / desbloqueo de terminales / puestos (Clientes)

37
Posibilidad de apagar y reiniciar los equipos.
Dispone tambin de un modo prepago, y cibercontrol bloquear el

cliente transcurrido el tiempo establecido.
Posibilidad de incrementar el tiempo de prepago durante su uso.
Alarmas al finalizar prepago.
Configuracin de varios operadores para el mismo programa, con

restricciones de uso en la sesin de cada operador.
CiberPuesto 4.0
Aviso visual de fin de tiempo.
Nuevas opciones de bloqueo. (Bloquear el equipo sin cerrar los

programas abiertos por el usuario durante su sesin).
Posibilidad de configurar fcilmente el interface de usuario a travs de

un asistente.
Dentro de su infraestructura fsica el Laboratorio cuenta con:
Supresores de Pico marca Primax AC Protector GS 13 120/240 (2)
Cableado estructurado
o Canaletas de Plstico.
38
o Cable UTP cat 6.
Cableado Elctrico
o Canaletas de Plstico.
o Cable elctrico.
El cableado estructurado y elctrico fue recientemente renovado porque hace

aproximadamente 6 meses se cambio el cableado estructurado de cable UTP cat 5
a cable UTP cat 6, modernizndose toda la instalacin.
La topologa del
laboratorio es tipo estrella.
El cableado elctrico y el cableado estructurado cruzan por diferentes canaletas

medida de seguridad adoptada para impedir interferencias electromagnticas.
Adems el Laboratorio de Internet para su funcionamiento se encuentra

relacionado con otros dispositivos, que se encuentran ubicados en el
Departamento de Sistemas Informticos, oficina contigua al Laboratorio de
Internet, en el Cuarto de Comunicaciones. Estos dispositivos son:
Gigabit Modular Switch DES-6000 D-Link.
o Arquitectura de Red Compatible:
o Gigabit Ethernet - 1000 Mbps (1000BaseTX),
o Ethernet - 100 Mbps Fiber (100BaseFX),
o Ethernet - 100 Mbps Two-Pair (100BaseTX),
o Ethernet - 10 Mbps Twisted Pair (10BaseT)

39
Pasarela Core Cisco Catalyst 4507R.
o Procesadores: MPC8260
o RAM instalada (mx.): 128 MB (128 Byte)
o Memoria flash instalada (mx.): 32 MB Flash
o Tecnologa de conectividad: Cableado
o Protocolo de interconexin de datos: Gigabit Ethernet.
La informacin sobre sus configuraciones no pudo ser suministrada por

ser de tipo confidencial. Pero se pudo conocer por parte de Personal del
Departamento de Sistemas que la principal funcin de este dispositivo es
permitir o negar trfico entre las diferentes VLAN que posee la UPS y el
acceso a los diversos protocolos desde las mismas.
Servidor Antivirus
o Software
SO. Windows Server 2003.
FSecure Anti-Virus 6.03.
o Hardware
Procesador 3.4 GHz P4
Memoria RAM 2 GB
40
Disco Duro 80 GB
Servidor Proxy.
o Software
SO. Linux, distribucin Sentos.
o Hardware
Procesador 3.4 GHz P4
Memoria RAM 2 GB
Disco Duro 80 GB
Firewall Cisco ASA.
o La informacin de las configuraciones de Firewall no pudo ser

proporcionada por ser de tipo confidencial. Pero se pudo conocer por
parte de Personal del Departamento de Sistemas que este dispositivo
se encarga de permitir solo trafico HTTP y de Correo para el
Laboratorio de Internet, adems se encarga de bloquear los puertos de
las PCs, dejando activos nicamente los puertos que utiliza el
Antivirus(P9099), los protocolos SMTP(P25), POP3(P110) y el puerto
3128.
Router TELCONET.
41
Adems el laboratorio se conecta a Internet a travs Telconet S. A., esta empresa

provee de una solucin para la Universidad Politcnica Salesiana (con sus siglas
UPS) y a su vez al Laboratorio de Internet, mediante tneles IP MPLS, con las
siguientes caractersticas:
Velocidad: 256Kbps de Descarga y 128 kbps de subida
Tipo de Canal: Transparente
Sobre suscripcin: 1:1
Protocolos: Manejo protocolos IP, Unicast, EIGRP, OSPF, BGP sobre los
tneles, no incluye manejo de Broadcast exceptuando el de IP, Multicast,
IPX, NetBios Broadcast, SNA
QoS: Incluye por IP
CPE: PR 2 LAN, 1 Giga Memoria, SNMP, etc
Seguridad; Tnel privado, enrutable en caso de fallos
Transparencia de puertos: Total
Limite de responsabilidad de provisin ( CPE Provisto por Telconet

(DMARK POINT): ETH1 (Interna) del CPE
Enrutamiento: IP Privadas
Soporte de: VOIP, Video Conferencias, Video Vigilancia, Video
Streaming
42
Medio de Ultima milla: FO / MW
Backbone urbanos: 10 Giga MPLS
Backbone interurbano: 10 Gigas MPLS
Nota: Este es un enlace sobre capa 3, no soporta enlaces de redes a
Nivel de capa 2
Telconet tambin provee de un sistema de respaldos, y para evitar problemas de

conexin de sus clientes con el servicio ofrecido, cuentan con un router adicional
y en caso de que se pierda el enlace con el router principal la conexin se
reestablece automtica e inmediatamente por su segundo router, siendo esta
conexin transparente para los clientes y evitando perdidas econmicas y de
informacin.
A continuacin exponemos un mapa del laboratorio de Internet y su distribucin.

Tambin se ha elaborado un mapa de los dispositivos que permiten el acceso a
Internet del Laboratorio:
43
Laboratorio de Internet de la UPS Sede Cuenca.

44
Cuarto de Comunicaciones de la UPS Sede Cuenca.

45
2.1.1
Mantenimiento.
Cada ciclo el Coordinador de Salas de cmputo y sus asistentes realizan un

mantenimiento completo a las computadoras que incluye:
Mantenimiento Fsico:
Formato de equipos
Reinstalacin de Software necesario
Colocacin de pasta trmica en procesadores, con el fin de evitar su

calentamiento
Lubricacin de ventiladores
Limpian de equipos
Limpieza de disqueteras
Mantenimiento Lgico
En periodos de entre 15 das y una semana se revisa los informes de antivirus
(virus detectados, archivos contaminados por virus que no han podido ser
reparados), se realiza una eliminacin de archivos (documentos que son
almacenados por los usuarios) y limpieza de disqueteras.
Para realizar controles y revisiones de los recursos disponibles en laboratorio, se

maneja un inventario de Hardware y Software en donde se guarda informacin
como se muestra en las siguientes plantillas:
46
47
48
Los documentos de Excel con la informacin de los activos del Laboratorio de

Internet fueron solicitados al Coordinador de Salas de Computo, pero la misma
no estaba disponible lo que no evidencia la aplicacin del inventario, por lo tanto
no adjuntaremos esta informacin en el proyecto y solo incluimos el formato de
las plantillas.
Tambin para realizar este inventario se utiliza el software EVEREST HOME

Edition el cual genera reportes de el software y el hardware del equipo en el cual
esta instalado. Estos documentos de inventario son mantenidos y revisados por lo
menos una vez al ao por el Coordinador de salas de Computo.
Adems la Universidad Politcnica Salesiana, hace tres meses, contrato a una

empresa AVALAC y realizo un inventario de todos sus activos.
2.1.2 Estrategias de Seguridad.

Algunas medidas de seguridad que dispone el laboratorio de Internet actualmente
son:
Estrategias Fsicas
Colocacin de amarras que sujeten los cables que se conectan al CPU
(incluidos cables de red) con el fin de evitar su substraccin.
El cableado estructurado y elctrico esta recubierto por canaletas de

plstico para su proteccin.
Para el inicio del ciclo que concluyo, como medida de seguridad se

cambio la ubicacin de la maquina administrador a el Laboratorio de
49
Internet para tratar de ofrecer un mejor control sobre los usuarios y los
equipos de computo, ya que antes estaba ubicada en otra oficina.
Los conductos por donde recorre el cableado estructurado y el cableado

elctrico son independientes lo que evita que se produzcan interferencias
de tipo electromagntico.
El Laboratorio de Internet cuenta con sensores de movimiento que se

activan cuando el mismo es cerrado. Si se detecta movimiento genera 2
tipos de avisos: 1) la activacin de una alarma sonora en la Universidad y
2) por medio de una comunicacin telefnica a la Empresa de Seguridad.
Adems la Universidad cuenta con Guardiana Privada que recorre

regularmente las inmediaciones de Laboratorio.
Estrategias Lgicas
A travs de configuraciones del Sistema Operativo con el comando
gpedit.msc, ya que mediante el cual se impide:
Realizar configuraciones de Red como cambio de direccin IP a travs de

la opcin: Prohibir la configuracin TCP/IP avanzada, etc.
Realizar configuraciones de Escritorio como cambio de Fondo de Pantalla

a travs de la utilizacin de la opcin: Papel Tapiz de Active Desktop.
A travs de el manejo de privilegios de usuarios, donde para las

estaciones clientes se utiliza cuentas de usuario de tipo Limitado con
mnimos privilegios impidiendo as:
La instalacin y eliminacin de programas.
50
El cambio de hora en el sistema.
El uso de la combinacin Ctrl+Alt+Supr.
A travs del antivirus (FSecure) se realiza el bloqueo de aplicaciones que

no estn involucradas para fines acadmicos. Ejemplo: Messenger.
Utilizacin de software (CiberControl) para controlar el acceso y tiempo

de uso de Internet.
Restringir el acceso a pginas que han sido bloqueadas de acuerdo a su

contenido, a travs del filtrado por palabras clave.
2.2 Anlisis de Seguridad.

2.2.1
Anlisis de la Situacin Actual
Para realizar el anlisis de la situacin actual, utilizaremos una tcnica basada en

listas de chequeo la misma que nos permitir verificar si existe o no controles
administrativos, operativos y tcnicos.
Para realizar un mejor anlisis dividiremos el sistema en las siguientes reas:
Administrativa
Acceso Lgico
Continuidad de Operaciones
Seguridad Fsica
51
Listas de Chequeo de Seguridad Fsica y Lgica

AREA
ADMINISTRATIVA
SI NO
Cuentan con descripcin de
COMENTARIOS
Se cuenta con un reglamento interno
funciones del personal encargado
donde se especifican estas funciones.
del laboratorio de Internet?

Existen polticas y
No se han establecido polticas y
procedimientos de seguridad
procedimientos para el laboratorio.
diseadas para el laboratorio?
Se conoci que se lleva un inventario

con el Software EVEREST Home
Edition y a travs de registro en hojas
Se Disponen de un inventario
de Excel que al momento de ser
de software y hardware?
solicitadas no estuvieron disponibles.

Adems se contrato hace tres meses a
una empresa externa AVALAC para
que realice el inventario.
Existe un registro de los
No se guarda informacin de este tipo
usuarios que acceden a Internet y
actualmente.
sus tiempos de uso?

SEGURIDAD Y ACCESO
LOGICO
La periodicidad de cambio y
Es cada mes, y la longitud oscila entre
longitud de las contraseas de las
6 y 7 caracteres.
maquinas clientes es adecuada?

La periodicidad de cambio y
longitud de las contraseas de la
Es cada mes, y la longitud oscila entre
maquina administrador es
6 y 7 caracteres.
adecuada?
Las contraseas se almacenan
Las contraseas no se encuentran
en algn lugar seguro? Quienes
respaldadas. Solo las conocen el
la conocen?
Coordinador y el Laboratorista.
52
Se cuentan con antivirus. Es

actualizado peridicamente.
Si. El software Antivirus se actualiza
Cada que tiempo. Este proceso
automticamente y diariamente.
se lo realiza manualmente o
automticamente?
Existe algn reglamento que
En el reglamento de las Salas de
establezca la periodicidad de
Computo no se especifica artculo
cambios de contrasea y su
alguno sobre este tpico.
longitud mnimo?
Se realiza un control de acceso
para el servicio de Internet? Que
Se solicita la presentacin del carn o
tipo de controles de acceso se
de un documento de Identificacin que
utilizan (claves de acceso o
se retiene mientras se usa el servicio.
lectores de carn)
Se conoci que cada fin de ciclo se
Se revisa y se da mantenimiento
contrasta los activos existentes con la
a este inventario?
informacin el inventario.
Se da un mantenimiento a los
equipos?
Se permite el acceso al Panel de
Control?
Eso se comprob mediante
Estn habilitados los juegos del
observaciones en las PCs del
sistema operativo?
Laboratorio.
Se permite el acceso a la opcin

agregar o quitar programas?
Es comn la prdida de servicio
Esto se ocasiona por problemas con el
de Internet?
ISP.
Se posee licencias de todo el

software instalado?
Se realizo pruebas donde se comprob
Es posible borrar archivos del
que es posible eliminar archivos del
sistema y de las aplicaciones?
S.O. y de los programas instalados.
53
Mediante pruebas realizadas se pudo

concluir que es posible descargarse
Es posible descargar archivos
archivos pesados desde el Internet, ya
de gran tamao desde Internet?
que fue posible descargarse un archivo

de 8.69MB.
CONTINUIDAD DE
OPERACIONES
Existen procedimientos de
Si. Se respalda informacin de las
respaldos que ayuden a reponer
configuraciones de los equipos, y se lo
el servicio en caso de que este
hace a travs del software Ciber
haya dejado de funcionar?
Control.
Existen procedimientos que
Se procede a utilizar las salas de
ayuden a continuar el servicio en
cmputo disponibles para brindar
caso de que este haya dejado de
acceso a Internet.
funcionar?
Telconet provee de un router en caso

de que el que posee deje de funcionar.
La desventaja de esto es que este
El Proveedor de Servicio ofrece
router no se encuentra en las
un sistema de respaldos?
instalaciones de la Universidad y
demora un tiempo aproximado de 2
horas en ponerse en marcha.
SEGURIDAD FSICA
En algunos casos se solicita la
Existen mecanismos de control
presentacin de un documento de
de acceso al Servicio de Internet?
identificacin.
El acceso a Internet esta
Una persona ajena a la institucin si
limitado para usuarios
podra utilizar el servicio de acceso a
autorizados?
Internet.
Se dispone de mecanismos de
Se cuenta con un sensor de
seguridad como alarmas,
movimientos y con guardias de
guardias de seguridad?
seguridad.
54
El sensor de movimiento para ser
Para los mecanismos de
desactivado y activado necesita de una
seguridad antes mencionados se
contrasea que solo es conocida por el
dispone de contraseas?
Coordinador y el Laboratorista.
Si. Los cables cruzan a travs de
Existe proteccin para el
canaletas y de manera interna (sobre el
cableado estructurado?
tumbado)
Los dispositivos que soportan el
Los breakers se encuentran sin
cableado elctrico, tales como
proteccin y pueden ser accedidos por
breakers se encuentran
usuarios no autorizados.
protegidos?
Existen apagones regularmente debido
El suministro de energa
a que en la zona la instalacin elctrica
elctrica es estable?
es deficiente.
Existe instalado un supresor de
Se cuenta nicamente con un supresor
Pico que brinde proteccin a las
de Pico.
computadoras?
Existe proteccin para el
Se utiliza canaletas de plstico.
cableado elctrico?
Hay controles de seguridad
Cualquier persona tiene libre acceso al
fsica que incluya los accesos a
Laboratorio.
Laboratorio?
La nica medida de seguridad es la
Hay controles de seguridad
cerradura de la puerta. El responsable
fsica que incluya los accesos al
de las llaves es el Ing. Patricio Jimnez
cuarto de Comunicaciones?
del Dep. de Sistemas de la UPS.
Existen dispositivos de
ventilacin en el cuarto de
Comunicaciones?
Existen extintores de fuego,
detectores de humo en el cuarto
de Comunicaciones?
Existen dispositivos de
55
ventilacin en el laboratorio de
Internet?
Existen extintores de fuego,
detectores de humo en el
laboratorio de Internet?
No es posible, solo en caso de que se
Robo de equipos
por motivo de dar de baja al equipo.
Es permitido retirar equipos de
Para otros casos se necesita el permiso
la Sala de Internet? Cual es el
de una Autoridad, como el Vicerrector
nivel de autoridad requerido para
de Sede.
retirar equipo de las

instalaciones?
Cuadro 4.3
Fuentes: Ing. Damin Benavides, Ing. Patricio Jimnez y las autoras.
2.2.1.1 Resultados del Anlisis de Seguridad.

En base a los resultados obtenidos con las listas de chequeo procedemos a
realizar el anlisis de la situacin actual del Laboratorio, haciendo hincapi en las
reas previamente identificadas:
2.2.1.1.1 rea Administrativa

Segn la informacin recopilada se pudo conocer que si se han implementado
mecanismos de seguridad para la administracin del laboratorio aun existen
falencias y aspectos que se pueden mejorar, por ejemplo se pudo conocer que
existen inventarios de los equipos del Laboratorio de Internet pero estos no
estuvieron disponibles lo cual no evidencia de una correcta aplicacin.
56
Otro punto en nuestro anlisis es que no existe un registro de los estudiantes que
utilizan el servicio de Internet, esta informacin es de gran importancia para tener
un correcto control de los activos ya que esto nos va a permitir conocer quienes
son los estudiantes que hicieron uso de los servicios del Laboratorio y cuando,
conocimiento sin el cual es imposible establecer responsabilidades en caso de
incidentes como perdidas de partes de equipos o daos sobre los mismos.
Finalmente no existen polticas y procedimientos que establezcan un estatuto para

la sancin de actos que vayan en contra de la seguridad del Laboratorio de
Internet.
2.2.1.1.2 rea de Seguridad y Acceso Lgico

En esta rea hemos podido conocer que es posible acceder al Panel de Control de
Sistema Operativo lo cual no debera suceder porque a travs de este se permite
el accesos a opciones que podran atentar contar la disponibilidad del servicio
como la instalacin y desinstalacin de software ya que esta opcin no se
encuentra completamente restringida y por estos se corre el riego de instalar un
programa que facilite el contagio de software malicioso (troyanos, gusanos,
virus) o que el mismo contenga cdigo daino.
Las contraseas que se manejan tienen una longitud de 6 a 7 caracteres pero para
una mayor robustez se aconseja tener como mnimo 8 caracteres, adems no
existe una constancia fsica de las contraseas y de su periodicidad de cambio.
Otro factor que atenta contra la seguridad es la ausencia de licencias del software
instalado en el Laboratorio.
Finalmente existen problemas en la disponibilidad del Servicio debido a fallas del

Proveedor como la disminucin de la tasa de descarga de archivos en cualquier
57
momento del da. Adems se conoci que en horas pico el ancho de banda se
reduce perjudicando el rendimiento del servicio.
2.2.1.1.3 rea de Continuidad de Operaciones

Se ha considerado ciertas medidas que permiten reestablecer el servicio de
Internet, como es el caso de los respaldos de configuraciones de los equipos
clientes del Laboratorio a travs del software Ciber Control, lo cual ayudara a
reponer el servicio en caso de perderse las configuraciones de los equipos.
Otra prevencin es que en caso de que el Laboratorio de Internet deje de prestar

su servicios se utilizara las instalaciones de los otros Laboratorios de la
Universidad para proporcionar acceso a Internet a los usuarios, esta medida tiene
sus limitaciones ya que en el caso de no existir ninguna sala disponible no se
podr aplicar.
Otra medida de seguridad del lado del ISP consiste en la disposicin de un router
alterno para la conexin a Internet en caso de fallo.
Consideramos que aunque estas medidas no garantizan en un 100% la

continuidad de las operaciones, esto se puede catalogar dentro de un riesgo
aceptable.
2.2.1.1.4 rea Seguridad y Acceso Fsico

En el laboratorio de Internet han sucedido incidentes serios como la substraccin
de partes de computadoras, a pesar de que existe personal interno encargado de
58
vigilar lo que sucede dentro del Laboratorio y de que existen guardias que
recorren las inmediaciones de los Laboratorios.
En el laboratorio las cajas de breakers no cuentan con la seguridad requerida para

evitar riesgos como daos a los equipos del laboratorio ocasionados por la
activacin y desactivacin de los mismos, ya que se encuentran expuestos sin
ninguna proteccin.
En el laboratorio de Internet no se cuenta con reguladores de voltaje que permitan

proteger los equipos de variaciones de voltaje que puedan ocasionar danos.
3.
Anlisis de Riesgos de Seguridad.

El anlisis del riesgo implica determinar que es lo que se necesita proteger,
contra que se necesita protegerlo, y cmo protegerlo.16
3.1 Identificacin de Activos.

El primer paso para poder realizar el anlisis de riesgo es identificar cuales son
los elementos o activos que se pretende proteger de esos riesgos. Lo esencial
aqu es enumerar todas las cosas que se podran afectar por un problema de la
seguridad. 17
Este punto lo realizamos en funcin del alcance de nuestro Plan de Seguridad,

donde el proceso principal es el servicio de Internet. A continuacin
procederemos a identificar todos los activos relacionados con este proceso
utilizando la Metodologa de las Elipses.
16
17
B. Fraser, RFC 2196, 1997

B. Fraser, RFC 2196, 1997.
59
3.1.1
Metodologa de las Elipses
El primer paso en esta metodologa es visualizar con mucha precisin los

distintos subprocesos que componen el alcance propuesto. Esto se determina en
la elipse concntrica. A continuacin se determinan cules son los activos de
informacin vitales de estos procesos.
El segundo paso en la metodologa, es el de identificar en la elipse intermedia las
distintas interacciones que los subprocesos de la elipse concntrica, tienen con
otros procesos de la organizacin.
Seguidamente, tambin se deben identificar los activos de informacin

involucrados en las interacciones con la elipse concntrica. Las flechas indican
las interacciones.
En la elipse externa, se identifican aquellas organizaciones extrnsecas a la

empresa que tienen cierto tipo de interaccin con los subprocesos identificados
en la elipse concntrica. Las flechas indican la interaccin. Aqu tambin se
deben identificar los distintos tipos de activos de informacin.
La metodologa de las elipses, es un mtodo sencillo que permite identificar los

distintos tipos de activos de informacin existentes dentro del alcance del
modelo.18
18
Carlos Delgado, Modulo de Seguridad Informtica del Curso de Graduacin de Ingeniera de

Sistemas 2006.
60
Fuente: Las autoras
A continuacin se exponen los activos identificados y clasificados segn el

estndar ISO 17799.
3.1.1.1
Principales Activos identificados.

Documentacin de hardware y software
Activos de Informacin
(Inventario), Logs y Configuraciones de

equipos (Ciber Control), Reglamento.
Sistema Operativo, Software de Control
Activos de Software
(Ciber Control), Aplicaciones (Office,

Utilitarios) y Antivirus.
Equipos de Computo.
Cableado Estructurado y Switch DLink.
Activos fsicos
Cableado Elctrico, Caja de Breakers,

Supresores de Pico.
Pasarela Cisco y Router Telconet.
61
Servicios
Acceso a Internet.
Administradores del Laboratorio,
Personas
Laboratorista y Asistentes.
Usuarios.
Cuadro 4.4
3.2. Tasacin de Activos.

La tasacin de activos podra parecer que esta asociada con el valor econmico,
pero realmente no es as porque no se esta hablando de cuanto cuestan las cosas,
sino de lo que valen. Esto se refiere a que la importancia que tienen no se deriva
nicamente del valor monetario sino de su utilidad. La tasacin de esta utilidad
en forma numrica es difcil de determinar y resulta imprecisa, por lo tanto
utilizaremos un mtodo cualitativo para este fin, con el cual asignaremos un valor
a la importancia que tienen en la organizacin, ponderada en una escala del 1 al
10. Esta importancia es un valor subjetivo que refleja el nivel de impacto que
puede tener la empresa si un incidente afecta a los activos, pero sin considerar las
medidas de seguridad que existan sobre los mismos. Para hacer la tasacin de
activos nos basaremos en la informacin recopilada en el Anlisis de la Situacin
Actual (Cfr. Supra) a travs de las listas de chequeo y de entrevistas a personal
relacionado con el Laboratorio.
Activo
Documentacin de
hardware y software
(Inventario), Logs y
Configuraciones de
equipos (Ciber
Control), Reglamento.
Sistema Operativo,
Software de Control
(Ciber Control),
Aplicaciones (Office,
62
Impacto
3
4
5
6
7
8
Utilitarios) y
Antivirus.
Equipos de Computo.
Cableado Estructurado
y Switch DLink.
Cableado Elctrico,
Caja de Breakers,
Supresores de Pico.
Pasarela Cisco y
Router Telconet
Acceso a Internet.
Administradores del
Laboratorio,
Laboratoristas y
Asistentes
8
9
8
10
10
8
Cuadro 4.5
3.3
Identificacin de Factores de Riesgo.

A continuacin se establecer la probabilidad de que estos factores de
riesgo ocurran, la misma que fue evaluada considerando las medidas de
seguridad existentes identificadas a travs del Anlisis de la Situacin
actual y de la aplicacin de las listas de Chequeo (Cfr. Supra). Para la
estimacin de la Probabilidad usaremos la siguiente escala:
Alta
Media
Baja
Factores de Riesgo
Acceso no autorizado a datos documentacin de
HW y SW, logs del sistema y reglamentos.
Datos del inventario no estn disponibles cuando
son necesarios.
63
Probabilidad
1
3
Mantenimiento inadecuado o ausencia de

inventarios.
Borrado y/ modificacin de archivos del S.O. o
de las aplicaciones.
Acceso a opcin de agregar o quitar programas del
Panel de Control del S.O.
2
3
2
Aplicaciones sin licencia
Antivirus desactualizado.
Contagio de Virus
Juegos del S.O. habilitados.
Fluctuaciones de voltaje
Mal uso y/o destruccin de equipos de computo
Mal mantenimiento de los equipos de computo
Robo de equipos o sus partes.
Ancho de banda insuficiente.
Interferencias Electromagnticas
Dao, corte de cableado estructurado.
Ubicacin inadecuada y ausencia de proteccin

fsica para la caja de breakers y supresores de pico.
Dao, corte de cableado elctrico.
Acceso no autorizado al cuarto de comunicaciones
Robo de activos del cuarto de comunicaciones.
Destruccin/falla de Pasarela Cisco/Router

Telconet.
Uso inadecuado del servicio de Internet (acceso a
sitios de ocio, pornogrficos, etc.).
Falta de control de acceso lgico a las maquinas
que prestan el servicio de acceso a Internet.
Que las maquinas permanezcan desbloqueadas
cuando no haya ningn usuario que este haciendo
uso de ellas.
Ausencia de registros de usuarios y tiempos de
uso.
1
3
2
2
3
Descarga de archivos de msica y video.
Ausencia de Polticas de Seguridad.
Administracin impropia de responsabilidades y

roles del personal del Laboratorio.
Maquina administrador del Laboratorio esta
64
conectada a Internet.
Abandono de la maquina administrador del
Laboratorio, desde donde se permite el acceso
lgico a Internet.
3.4
Cuadro 4.6
Posibles Consecuencias y medidas existentes.

A continuacin se detallara mas sobre los factores de riesgo ya que se
incluir cuales son las consecuencias que puede traer la ocurrencia de los
mismos, adems agregamos informacin sobre cuales son las medidas que
se han agregado para mitigar estas consecuencias y finalmente se han
evaluado estas medidas en base al numeral 2 de este capitulo (Cfr. Supra).
65
Activo: Documentacin de hardware y software (Inventario), Logs y Configuraciones de equipos (Ciber Control), Reglamento.
Consecuencia
Se
Protege?
Acceso no autorizado a datos de

documentacin.
Divulgacin, robo o
modificacin de la informacin.
si
Datos no estn disponibles cuando son

necesarios.
Mantenimiento inadecuado o ausencia
de inventarios.
Entorpecimiento/ Falencias
en/de la administracin.
Inconsistencia de la informacin
con el HW y SW que se dispone.
Factores de Riesgo
Cuadro 4.7
66
Como
Es efectiva?
Control de acceso fsico y

lgico a travs de cerraduras
y de contraseas de S.O.
Media
no
si
Baja
Revisin y actualizacin de
inventarios cada fin de ciclo.
Media
Activo: Sistema Operativo, Software de Control (Ciber Control), Aplicaciones (Office, Utilitarios) y Antivirus.
Factores de Riesgo
Borrado y/ modificacin de archivos
del S.O. o de las aplicaciones.
Acceso a opcin de agregar o quitar
programas del Panel de Control del
S.O.
Se
Protege?
Consecuencia
Dao y Inestabilidad del
software.
no
Modificacin/ Borrado de
Programas
si
Multas y problemas con

software legal.
no
Incremento de la probabilidad de
contraer virus.
Virus
Inestabilidad y mal
funcionamiento del S.O y de las
aplicaciones.
Mal uso de recursos y prdida de

no
Productividad.
Cuadro 4.8
67
si
si
Como
Es efectiva?
Baja
Con la creacin de usuarios

con privilegios limitados.
Media
Baja
Se permite al antivirus
conectarse a Internet para
que se actualic
automticamente.
Con el Antivirus FSecure
que permite tambin la
restriccin del trafico
(firewall)
Alta
Alta
Baja
Activo: Equipos de Computo

Factores de Riesgo
Fluctuaciones de voltaje.
Mal uso y/o destruccin de
equipos de cmputo.
Se
Protege?
si
Consecuencia
Dao en los equipos.
Interrupcin de su funcionamiento y
disminucin de la capacidad del
laboratorio para brindar su servicio.
si
Mal mantenimiento de los

equipos de cmputo.
Deterioro de equipos
Robo de equipos o sus

partes.
Perdida de hardware. Interrupcin de su

funcionamiento y disminucin de la
si
capacidad del laboratorio para brindar
su servicio.
si
Cuadro 4.9
68
Como
Se cuenta con supresores de Pico
Control de acceso lgico y
vigilancia del Personal del
Laboratorio.
Se realizan mantenimientos
generales cada fin de ciclo y en
periodos de 1 a dos semanas
Vigilancia del Personal del
Laboratorio, Sensores de
movimiento y Guardias de
Seguridad de la UPS
Es efectiva?
Alta
Baja
Media
Media
Activo: Cableado Estructurado y Switch DLink.

Factores de Riesgo
Consecuencia
Se
Protege?
Ancho de banda
insuficiente
Transmisin pesada en la red.
si
Interferencias
Electromagnticas
Errores de transmisin de los

datos
si
Dao, corte de
cableado estructurado.
Fallas en conexiones de red.
si
Como
Tecnologa UTP cat 6 y ISP con Velocidad:
256Kbps de Descarga y 128 kbps de subida
(Telconet).
El Laboratorio cuenta con un tendido
separado para el cableado estructurado y el
cableado elctrico, adems los mismos se
encuentran recubiertos con canaletas de
plstico.
El cableado estructurado se encuentra
protegido con canaletas de plstico.
Cuadro 4.10
69
Es efectiva?
Alta
Alta
Media
Activo: Cableado Elctrico, Caja de Breakers, Supresores de Pico.

Se
Protege?
Factores de Riesgo
Consecuencia
Ubicacin inadecuada
y ausencia de
proteccin fsica para
la caja de breakers y
supresores de pico.
Desconexin deliberada sin

intencin. Fallas en el
suministro de energa
elctrica del Laboratorio.
no
Dao, corte de
cableado elctrico.
Fallas en el suministro de
energa elctrica del
Laboratorio
si
Como
Es efectiva?
Baja
El cableado elctrico se encuentra protegido

con canaletas de plstico.
Cuadro 4.11
70
Media
Activo: Pasarela Cisco y Router Telconet

Factores de Riesgo
Acceso no autorizado
al cuarto de
comunicaciones
Robo de activos del
cuarto de
comunicaciones.
Destruccin/falla de
Pasarela Cisco/Router
Telconet.
Consecuencia
Se
Protege?
Como
Es efectiva?
Robo o modificacin de la
informacin.
si
Control de acceso lgico con contraseas.
Alta
Perdida del servicio de Internet,

de equipos y de informacin.
si
Existe control de acceso fsico, se utiliza una

puerta con cerradura para el cuarto de
comunicaciones, y Guardias de la UPS.
Alta
Cada del servicio de Internet y

perdida de tiempo por
necesidad de reemplazo.
si
Existe equipo redundante en las oficinas del

proveedor ISP para el caso del router.
Media
Cuadro 4.12
71
Activo: Servicio de Acceso a Internet

Consecuencia
Se Protege?
Uso inadecuado del servicio

de Internet (acceso a sitios de
ocio, pornogrficos, etc.).
Perdida de productividad en el
uso de Internet.
si
Se utiliza un firewall y se realiza control de

trfico y aplicaciones y bloqueo de puertos.
Media
Falta de control de acceso

lgico.
Acceso no autorizado al
servicio de Internet.
si
Se solicita la presentacin del carne para dar

acceso a Internet. Se desbloquea el equipo
con el software Ciber Control.
Media
Ausencia de registros de
usuarios y tiempos de uso.
No se puede ejercer ningn

control de usuarios ni
establecer responsabilidades.
no
Que usuarios no autorizados

accedan a los equipos.
si
Que las maquinas

permanezcan desbloqueadas
cuando no haya ningn
usuario que este haciendo uso
de ellas.
Descarga de archivos de
msica y video.
Ausencia de Polticas de
seguridad
Lentitud en el servicio de
acceso a Internet.
Mal uso del servicio de
Internet.
Como
Es
efectiva?
Factores de Riesgo
Baja
Existe el software Ciber Control que permite
bloquear PCs al momento de devolver la
carne previamente solicitada al estudiante.
Media
no
Baja
no
Baja
Cuadro 4.13
72
Activo: Administradores del Laboratorio, Laboratorista y Asistentes

Factores de Riesgo
Consecuencia
Administracin impropia de
responsabilidades y roles del personal del
Laboratorio.
Inadecuada delegacin
de funciones para el
personal.
Maquina administrador del Laboratorio

esta conectada a Internet.
Abandono de la maquina administrador
del Laboratorio, desde donde se permite
el acceso lgico a Internet.
Se Protege?
si
Distraccin de los
asistentes del
Laboratorios.
Indisponibilidad del
Servicio para los
usuarios y ausencia de
vigilancia interna.
Cuadro 4.14
73
Como
Existe un Reglamento interno
donde se especifica las funciones
de parte del personal del
Laboratorio.
Es
efectiva?
Baja
no
Baja
no
Baja
3.5
Clculo de nivel de Vulnerabilidad.
El Calculo del nivel de vulnerabilidad nos sirve para comprender en que medida cada
uno de los activos identificados es mas propenso a ser amenazado, y a travs de esto
conocer cuales son los activos menos seguros y que por ende se encuentran en mayor
riesgo. A continuacin se calculan los niveles de vulnerabilidad (o niveles de riesgo)
en los que incurre cada activo arriba mencionado. Para esto se tiene en cuenta el
nivel de importancia asignado a cada uno y la probabilidad de ocurrencia de estos
riesgos. Para realizar dicho clculo se desarrollaron las siguientes operaciones:
Probabilidad de ocurrencia: representan la probabilidad de que ocurran los factores
de riesgo mencionados, en una escala del 1 al 3. Esta probabilidad fue evaluada
teniendo en cuenta las medidas de seguridad existentes en la organizacin.
Porcentaje de la probabilidad del riesgo: se calcula el porcentaje de probabilidad de
que ocurra un determinado factor de riesgo, con respecto a la cantidad de factores de
riesgo intervinientes para dicho activo. Esto es debido a que cada activo est afectado
por un nmero diferente de riesgos posibles, de manera que este clculo sirve para
obtener un porcentaje de probabilidades equilibrado por igual para cualquier activo,
independientemente de la cantidad de factores de riesgo que lo afectan.
Nivel de vulnerabilidad: en este momento interviene el nivel de importancia,
multiplicando al porcentaje de probabilidad del riesgo. De esta forma se obtiene el
nivel de vulnerabilidad de cada activo con respecto a un factor de riesgo. La suma de
estos valores es el nivel de vulnerabilidad total que corresponde a cada activo.
74
Rango
1-10
B-M-A
%
N
Activo
Nombre del Activo
Nivel de
Importancia
Factor de Riesgo
Prob. de
Prob.
Nivel de
Ocurrencia
de
Vulnerabilidad
Riesgos
Documentacin de
Acceso no autorizado a datos de
hardware y software
documentacin.
(Inventario), Logs y
Configuraciones de equipos
Datos no estn disponibles cuando son

necesarios.
(Ciber Control),
Mantenimiento inadecuado o ausencia
Reglamento
de inventarios.
Cantidad de factores de riesgo =

33,33
66,67
66,67
133,33
66,67
133,33
333,33
Cuadro 4.15
75
Rango
1-10
B-M-A
%
N
Activo
Nombre del Activo
Nivel de
Factor de Riesgo
Importancia
Prob. de
Prob.
Nivel de
Ocurrencia
de
Vulnerabilidad
Riesgos
Borrado y/ modificacin de archivos
del S.O. o de las aplicaciones.
Sistema Operativo,
Acceso a opcin de agregar o quitar
Software de Control (Ciber
programas del Panel de Control del
Control), Aplicaciones
50,00
400,00
33,33
266,67
S.O.
(Office, Utilitarios) y
50,00
400,00
Antivirus.
16,67
133,33
Contagio de Virus
16,67
133,33
50,00
400,00

1733,33
Cuadro 4.16
76
Rango
1-10
B-M-A
%
N
Activo
Nombre del Activo
Nivel de
Factor de Riesgo
Importancia
Prob. de
Prob.
Nivel de
Ocurrencia
de
Vulnerabilidad
Riesgos
Fluctuaciones de voltaje
Mal uso y/o destruccin de equipos de
3
Equipos de Computo.
computo
Mal mantenimiento de los equipos de
computo
Robo de equipos o sus partes.

50,00
400,00
50,00
400,00
25,00
200,00
50,00
400,00
1400,00
Cuadro 4.17
77
Rango
1-10
B-M-A
%
N
Activo
Nombre del Activo
Nivel de
Importancia
Factor de Riesgo
Prob. de
Prob.
Nivel de
Ocurrencia
de
Vulnerabilidad
Riesgos
4
Cableado Estructurado y
Switch DLink.
de Breakers, Supresores de
33,33
300,00
Interferencias Electromagnticas
33,33
300,00
Dao, corte de cableado estructurado.
33,33
300,00
900,00
Ubicacin inadecuada y ausencia de

8
Pico.
Cableado Elctrico, Caja

5
Ancho de banda insuficiente.
proteccin fsica para la caja de
150,00
1200,00
50,00
400,00
breakers y supresores de pico.

Dao, corte de cableado elctrico.
1600,00
Cuadro 4.18
78
Rango
1-10
B-M-A
%
N
Activo
Nombre del Activo
Nivel de
Importancia
Factor de Riesgo
Prob. de
Prob.
Nivel de
Ocurrencia
de
Vulnerabilidad
Riesgos
Acceso no autorizado al cuarto de
comunicaciones
6
Pasarela Cisco y Router

Telconet
10
Robo de activos del cuarto de

comunicaciones.
Destruccin/falla de Pasarela
Cisco/Router Telconet.

33,33
300,00
33,33
300,00
33,33
300,00
900,00
Cuadro 4.19
79
Rango
1-10
B-M-A
Nivel de
Prob. de
Activo
Nombre del Activo
Factor de Riesgo
Importancia
Uso inadecuado del servicio de Internet (acceso a
Vulnerabilidad
500,00
33,33
333,33
33,33
333,33
Ausencia de registros de usuarios y tiempos de uso.
50,00
500,00
Descarga de archivos de msica y video.
50,00
500,00
Ausencia de Polticas de Seguridad.
50,00
500,00
prestan el servicio de acceso a Internet.

10
Riesgos
Nivel de
50,00
Falta de control de acceso lgico a las maquinas que
Acceso a Internet.
de
sitios de ocio, pornogrficos, etc.).
Ocurrencia
% Prob.
Que las maquinas permanezcan desbloqueadas

cuando no haya ningn usuario que este haciendo uso
de ellas.
Cant. de factores de riesgo =

2666,67
Cuadro 4.20
80
Rango
1-10
B-M-A
%
N
Activo
Nombre del Activo
Nivel de
Importancia
Factor de Riesgo
Prob. de
Prob.
Nivel de
Ocurrencia
de
Vulnerabilidad
Riesgos
Administracin impropia de
responsabilidades y roles del personal
Laboratorio, Laboratoristas
66,67
533,33
100,00
800,00
66,67
533,33
del Laboratorio.
Administradores del
8
y Asistentes
Maquina administrador del Laboratorio

esta conectada a Internet.
Abandono de la maquina administrador
del Laboratorio, desde donde se permite
el acceso lgico a Internet.

1866,67
Cuadro 4.21
81
3.6
Nivel de Vulnerabilidad.
El nivel de vulnerabilidad nos sirve para analizar al activo en comparacin con el

resto de activos, y comprender que tanto por ciento un activo es vulnerable en
cotejo con los dems activos identificados.
Para obtener la Proporcin de vulnerabilidad (%) para cada activo se utiliza el

nivel de vulnerabilidad calculado anteriormente y se hace una regla de tres
simple, donde la sumatoria de todos los niveles de vulnerabilidad representa el
100%.
Nivel de
Vulnerabilidad
Activos
Imp.
333,33
2,924
4 Cableado Estructurado y Switch DLink.
900
7,895
6 Pasarela Cisco y Router Telconet
900
7,895
3 Equipos de Computo.
1400
12,28
1600
14,04
1733,33
15,2
1866,67
16,37
2666,67
23,39
11400
100
Documentacin de hardware y software (Inventario),

1 Logs y Configuraciones de equipos (Ciber Control),
Reglamento.
5
2
8
Cableado Elctrico, Caja de Breakers, Supresores de

Pico.
Sistema Operativo, Software de Control (Ciber Control),
Aplicaciones (Office, Utilitarios) y Antivirus.
Administradores del Laboratorio, Laboratoristas y
Asistentes
7 Acceso a Internet.
Cuadro 4.22
82
3.7
Anlisis de Importancias.
Para este anlisis se calcul el porcentaje de los riesgos y el porcentaje de la

importancia, como se explica anteriormente (Cfr. Supra). Al calcular la diferencia
entre estos porcentajes (Dif. de %) se obtiene el porcentaje que muestra cun
sobrevaluados o menospreciados estn los activos de acuerdo a sus riesgos. Y a
continuacin se calcula el valor (Diferencia de importancia) que representan los
porcentajes anteriormente mencionados, de la siguiente manera:
Para aplicar la diferencia de porcentajes a la importancia actual, se multiplican:

Imp. * Dif. de %
Este resultado no est en escala de 1 a 10, por lo que con una regla de tres simple,
se centran los valores:
100 %
10 puntos de importancia
Imp. x Dif. de %
? (= Diferencia de importancia)
A este resultado se le suma (o resta de acuerdo al signo) a la importancia actual,

obteniendo la importancia que debera tener cada activo (importancia ideal), de
acuerdo al nivel de riesgos encontrado.
Importancia ideal = Importancia actual + Diferencia de importancia
83
Activos
Nivel de
Vulnerabilidad
Importancia
Actual
Dif. de
Dif.
Importancia
de Imp.
Ideal
1 (Inventario), Logs y Configuraciones de equipos
333,33
2,92
3,28
-0,35
-0,07
1,93
900
7,89
13,11
-5,22
-4,18
3,82
900
7,89
13,11
-5,22
-4,18
3,82
1400
12,28
14,75
-2,47
-2,23
6,77
1600
14,04
13,11
0,92
0,74
8,74
1733,33
15,20
10
16,39
-1,19
-1,19
8,81
1866,67
16,37
10
16,39
-0,02
-0,02
9,98
2666,67
23,39
9,84
13,56
8,13
14,13
11400
100
61
100
0,00
-2,99
58,01
(Ciber Control), Reglamento.
Cableado Elctrico, Caja de breakers, Supresores

de Pico.
Sistema Operativo, Software de Control (Ciber
2 Control), Aplicaciones (Office, Utilitarios) y

Antivirus.
Administradores del Laboratorio, Laboratoristas y

Asistentes
Cuadro 4.23
84
3.8
Conclusiones.
Los resultados de nuestros anlisis de riesgos nos demuestran cuales son los
activos que deberan ser considerados como ms importantes en funcin de nivel
de riesgo que poseen, es decir considerando que estos activos estn en mayor
peligro que el resto de los activos analizados, y en funcin de este parmetro la
importancia ideal de los activos es la siguiente:
Importancia Importancia
Activos
Actual
Ideal
14,13
10
9,98
10
8,81
8,74
6,77
3,82
3,82
1,93
8
Administradores del Laboratorio,

Laboratoristas y Asistentes
Sistema Operativo, Software de Control
2 (Ciber Control), Aplicaciones (Office,

Utilitarios) y Antivirus.
5
Cableado Elctrico, Caja de Breakers,

Supresores de Pico.

1 (Inventario), Logs y Configuraciones de
equipos (Ciber Control), Reglamento.
Cuadro 4.24
85
Adems con este anlisis podemos conocer cuales son los activos a los que no se
les da la importancia que merecen en funcin de los riesgos que poseen, es decir
que a estos activos actualmente no se les esta prestando la atencin que
requieren, estos activos son:
Activos.
Diferencia de Imp.
Acceso a Internet.
13,56
Cableado Elctrico, Caja de Breakers, Supresores de Pico.
0,92
Cuadro 4.25
86
&
'
&
!
"
87
CAPITULO V
Manual de polticas de seguridad para el Laboratorio de Internet de la
Universidad Politcnica Salesiana Sede Cuenca.
1. Definicin
Una poltica de seguridad es una manifestacin clara y precisa de lo que esta
permitido y de lo que no esta permitido realizar dentro de sistema informtico,
plasmado en un documento con un orden y una sistematizacin.
2. Propsito
Este manual tiene como objetivo presentar de manera sencilla y clara que es lo que se
debe y lo que no se puede para garantizar la Seguridad en el Laboratorio de Internet
y esta dirigido tanto a los Usuarios como a el Personal que administra y trabaja el
Laboratorio de Internet de la Universidad Politcnica Salesiana sede Cuenca.
88
3. A quienes va dirigido
Este Manual de Poltica de Seguridad va dirigido:
3.1 Usuarios
Se considera como usuario del laboratorio de Internet a cualquier estudiante o
docente de la Universidad Politcnica Salesiana, que requiera al acceso a este
servicio.
3.2
Personal Encargado del Laboratorio de Internet.

Es personal del Laboratorio de Internet:
El Coordinador de Salas de Computo.
El Laboratorista
Asistentes por Gestin Universitaria.
89
4. Polticas de Seguridad.
4.1
Dirigido a los Usuarios del Laboratorio de Internet.
Polit 1.
Los estudiantes solamente accedern al servicio del Laboratorio de

Internet a travs de la presentacin de su carnt de estudiante
actualizado de la Universidad Politcnica Salesiana o cedula de
identidad.
Polit 2.
Los equipos del Laboratorio de Internet son nicamente para uso

con fines acadmicos y el acceso a Internet solo para fines
investigativos y revisin de cuentas de correo, quedado
estrictamente prohibido actividades como: juegos, Chat y acceso a
sitios pornogrficos y sitios de entretenimiento.
Polit 3.
La sustraccin de equipos del Laboratorio de Internet o de sus

partes es una accin ilcita y prohibida.
Polit 4.
Se prohbe la desconexin y dao de: cables de red, elctricos,

Mouse, teclados, fuente de poder, monitor o cualquier otro
elemento que permita el normal funcionamiento del equipo.
Polit 5.
Se prohbe el acceso, con privilegios de usuario administrador, a

los equipos del laboratorio.
Polit 6.
No esta permitido modificar las configuraciones de los equipos.
Polit 7.
Se prohbe la instalacin de programas de ninguna ndole.
90
Polit 8.
Esta totalmente prohbo hacer uso de juegos en los computadores

del Laboratorio de Internet.
Polit 9.
Los usuarios no podrn usar el Internet para hacer descarga de

archivos de msica, y videos que no tengan fines educativos.
Polit 10. Es obligacin de los usuarios solicitar su carnet o cdula una vez
que dejen de hacer uso del equipo, ya sea porque el tempo
asignado expiro o porque ya no desean seguirlo utilizando.
Polit 11. Por el bien de los equipos, se prohbe el ingreso al Laboratorio de
Internet con alimentos y bebidas, as como el fumar en l.
Polit 12. Es obligacin de los usuarios reportar inmediatamente cualquier
anomala en el funcionamiento del equipo o programas a los
encargados del Laboratorio de Internet.
Polit 13. Queda restringido para los usuarios del laboratorio, permanecer
como espectadores en el laboratorio y/o estar ms de dos persona
por mquina.
Polit 14. Una vez asignado un equipo al usuario, este es responsable del
equipo durante el tiempo que permanece en su poder.
4.2 Dirigido al personal Encargado del Laboratorio de Internet.

Polit 15. Esta prohibida la sustraccin de equipos del Laboratorio de
Internet o de sus partes fuera de las instalaciones de la Universidad
Politcnica Salesiana sin autorizacin.
91
Polit 16. Es responsabilidad del personal del laboratorio de Internet

controlar
cualquier cambio de lugar de hardware entre las
diferentes localidades de la universidad, esto solo puede ser posible

en casos especiales (equipo se encuentre daado) baja su
autorizacin pertinente.
Polit 17. Es obligacin del Personal del Laboratorio llevar un registro de
todos los estudiantes que utilizan el Laboratorio as como de sus
tiempos de uso.
Polit 18. Es responsabilidad del personal del Laboratorio de Internet velar
por la integridad de los equipos.
Polit 19. La documentacin del hardware del Laboratorio de Internet debe
estar
disponible
en
todo
momento
para
dar soporte
mantenimiento a los sistemas.

Polit 20. El Inventario del Hardware oficial de todos los equipos debe ser
mantenido y actualizado en periodos de no menos de una vez cada
seis meses.
Polit 21. Todos los equipos del Laboratorio de Internet deben ser
mantenidos por el personal encargado y se debe llevar registro del
mantenimiento efectuado sobre los mismos.
Polit 22. Cualquier dao, sea este deliberado o accidental a un activo del
Laboratorio de Internet deber ser registrado para posteriormente
ser informado al Departamento de Sistemas.
Polit 23. Los procedimientos para tratar con las amenazas de virus sern
llevados a cabo siempre y debe garantizarse su mantenimiento a lo
largo del tiempo.
92
Polit 24. Sin excepcin, el software anti virus ser instalado en todas las PCs
del laboratorio de Internet y actualizado diariamente.
Polit 25. El
personal
del
laboratorio
de
Internet
debe
establecer
configuraciones que ayuden a restringir el acceso de los usuarios a

realizar cualquier cambio en la configuracin del sistema.
Polit 26. Solo el personal que administra el laboratorio de Internet tendr
acceso a la cuenta de usuario administrador con todos los
privilegios para administrar el sistema.
Polit 27. La informacin y los documentos de importancia para el
laboratorio de Internet solo deben ser accedidos y utilizados por
personal encargado.
Polit 28. La seleccin de contraseas, su uso y administracin debe
realizarse bajo estrictas pautas: su longitud no debe ser menor a 8
caracteres entre los cuales debe incluir letras en mayscula y en
minscula y nmeros, estas contraseas no deben ser dadas a
conocer a nadie bajo ninguna circunstancia.
Polit 29. Realizar un cambio peridico de contraseas del sistema en
periodos que no sean mayores a un mes.
Polit 30. El acceso al servicio de Internet debe supervisarse para identificar
el mal uso de los activos del laboratorio de Internet.
Polit 31. En caso de dao de algn dispositivo o equipo perteneciente al
laboratorio el personal emitir un informe dirigido al Director de
Laboratorios solicitando su reemplazo.
93
Polit 32. Es responsabilidad del personal del Laboratorio solicitar el

mejoramiento o reparacin de sus elementos.
Polit 33. Es obligacin del personal el abrir y cerrar el laboratorio de
Internet de acuerdo a los horarios establecidos.
Polit 34. Es obligacin del personal del Laboratorio no permitir que los
equipos se encuentren desbloqueados en caso de no encontrarse
ningn usuario autorizado haciendo uso del mismo.
Polit 35. Es obligacin del Coordinador de Salas de cmputo asignar
funciones al personal a su cargo y supervisar su cumplimiento.
Polit 36. La persona encargada de dar acceso a Internet a los usuarios del
Laboratorio tiene restringido hacer uso de Internet para su
entretenimiento, por que esto ocasiona distraccin en el
cumplimiento de sus funciones.
Polit 37. Es responsabilidad del personal del laboratorio el control del
prstamo y uso de los equipos y de la atencin a los usuarios que
solicitan el servicio.
Polit 38. Se prohbe el abandono de la maquina administrador del
laboratorio de Internet por parte del personal encargado, ya que
esto atenta contra la disponibilidad del servicio para los
estudiantes.
94
5. Recomendaciones
En base al anlisis realizado (Cfr. Supra)
proponemos las siguientes
recomendaciones que ayudaran a mejorar el Laboratorio de Internet:
El cableado estructurado debe ser separado del cableado elctrico para evitar
interferencias electromagnticas.
El Laboratorio de Internet para su proteccin de fluctuaciones de voltaje debe

contar con equipos supresores de pico o de voltaje los cuales deben ser
mantenidos peridicamente.
El cableado estructurado se debe proteger contra intercepciones no autorizadas

usando conductos (canaletas) y evitando rutas a travs de reas pblicas.
El cableado elctrico y dispositivos relacionados tales como caja de breakers y

supresores se deben proteger contra acceso no autorizadas usando protecciones
adecuada y evitando exponerlos a la vista publica.
El cableado de red debe ser mantenido por el personal del Laboratorio de

Internet para asegurar la integridad tanto de los cables como los conectores de
red. Cualquier conector sin usarse debe ser sellado.
Los estudiantes debern colaborar con el orden y limpieza en los laboratorios.
Se recomienda a los usuarios guardar su informacin cinco minutos antes del

trmino de su tiempo asignado.
95
'
96
CONCLUSIONES
De la presente investigacin se han desprendido una serie de conclusiones que

exponemos a continuacin:
Las Polticas de Seguridad son una manifestacin clara y precisa de lo que esta
permitido o no esta permitido realizar en una organizacin y son la base sobre la cual
se levanta toda estrategia de seguridad, y aunque para cualquier organizacin su
implementacin ser un gran desafi, no se puede concebir la Seguridad Informtica
sin su verdadera aplicacin en el da a da de las organizaciones.
Despus de analizar la situacin del Laboratorio de Internet de la UPS sede Cuenca

desde el punto de vista de la Seguridad Informtica se concluye:
El Laboratorio no posee suficientes medidas de control de acceso que ayuden

a garantizar la seguridad de los equipos existentes debido a que no se lleva un
registro de los estudiantes y de sus tiempos de acceso, lo que hace imposible
establecer responsabilidades ante incidentes como daos al sistema fsico y
lgico de las computadoras.
En el rea de la seguridad fsica no existe una ordenada supervisin sobre los

asistentes que trabajan en el Laboratorio lo que podra ocasionar fallas o el no
cumplimiento de las polticas establecidas
La elaboracin de este proyecto constituy para las autoras un gran ret ya que es
difcil establecer criterios para juzgar el trabajo realizado por el personal del
Laboratorio, pero se lo hizo a travs de un autentico anlisis sobre la realidad del
Laboratorio de Internet.
97
Este trabajo contribuyo en nuestra formacin acadmica ya que nos sirvi para
apreciar la magnitud de la importancia de la Seguridad Informtica y su significado
en la actualidad a travs del conocimiento de normas internacionales como el
estndar ISO 17799 una gua de buenas prcticas de seguridad informtica que
presenta una extensa serie de controles de seguridad y que hacen posible su
aplicacin tanto en una organizacin grande como en una pequea ya que esta basada
en la realidad de la seguridad informtica.
98
BIBLIOGRAFA
DELGADO B., Carlos G., Modulo de Seguridad Informtica, Curso de

Graduacin de Ingeniera de Sistemas - UPS, Cuenca, 27 de Noviembre al 1 de
Diciembre del 2006.
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION (ISO),

Cdigo de buenas prcticas para la Gestin de la Seguridad de la Informacin
ISO 17799, 2005.
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION (ISO), ISO

17799 Toolkit Police Templates, Copyright BinaryNine Ltd 2002.
CERINI, Maria Dolores y PR, Pablo Ignacio, Plan de Seguridad Informtica,

Tesis Universidad Catlica De Crdoba - Facultad De Ingeniera, Argentina Octubre 2002.
UNIVERSIDAD POLITCNICA SALESIANA, Reglamento de las Salas de

Cmputo, Cuenca.
ARONSON, Jules P., y otros, RFC2196 - Site Security Handbook, Internet

Engineering Task Force (IETF), 1997.
WEISE, Joel y MARTIN, Charles R., Developing a Security Policy, Sun

Microsystems - Sun BluePrintsOnLine, Diciembre 2001.
99
GLOSARIO
Activo: recurso del sistema de informacin o relacionado con ste, necesario

para que la organizacin funcione correctamente y alcance los objetivos
propuestos.
Amenaza: cualquier cosa que pueda interferir con el funcionamiento
adecuado de una computadora personal o equipo informtico, o causar la
difusin no autorizada de informacin confiada a una computadora.
Antivirus: son todos aquellos programas que permiten analizar memoria,
archivos y unidades de disco en busca de virus.
Equipo de Computo: dispositivo con la capacidad de aceptar y procesar
informacin en base a programas establecidos o instrucciones previas,
teniendo la oportunidad de conectarse a una red de equipos o computadoras
para compartir datos y recursos, entregando resultados mediante despliegues
visuales, impresos o audibles.
Estrategia: es un conjunto de acciones que se lleva a cabo para lograr un
determinado fin.
Confidencialidad: aseguramiento de que la informacin es accesible solo
para aquellos autorizados a tener acceso.
Datos: son hechos y cifras que al ser procesados constituyen una
informacin, sin embargo, muchas veces datos e informacin se utilizan
como sinnimos. En su forma ms amplia los datos pueden ser cualquier
forma de informacin: campos de datos, registros, archivos y bases de datos,
texto (coleccin de palabras), etc.
100
Disponibilidad: aseguramiento de que los usuarios autorizados tienen acceso

cuando lo requieran a la informacin y sus activos asociados.
Firewall: es un dispositivo que permite o deniega las transmisiones de una
red a la otra. Este controla todas las comunicaciones que pasan de una red a la
otra y en funcin de lo que sean permite o deniega su paso.
Integridad: garanta de la exactitud y completitud de la informacin de la
informacin y los mtodos de su procesamiento.
Poltica: Curso
mtodo
de
accin
que
ha
sido
seleccionado
deliberadamente y que gua o tiene influencia en decisiones futuras.

Riesgo : Riesgo es el dao potencial que puede surgir por un proceso
presente o evento futuro
Servidor Proxy: Es un equipo intermediario situado entre el sistema del
usuario e Internet.
Seguridad informtica generalmente consiste en asegurar que los recursos
del sistema de informacin (material informtico o programas) de una
organizacin sean utilizados de la manera que se decidi.
Tasacin: Determinacin del valor o precio de algo. Fijacin oficial del
precio mnimo o mximo de una mercanca.
Tneles IP MPLS: Es una tecnologa que integra varios servicio a travs de
una misma red, servicios tales como Voz, Video y Datos
Vulnerabilidad: Es la incapacidad de resistencia cuando se presenta un
fenmeno amenazante, o la incapacidad para reponerse despus de que ha
ocurrido un desastre.
101
ANEXOS
PLANTILLAS DE POLITICAS DE SEGURIDAD

ISO 17799 TOOLKIT
Policy 020104
Managing Network Access Controls
POLICY
Access to the resources on the network must be strictly controlled to prevent
unauthorised access. Access to all computing and information systems and
peripherals shall be restricted unless explicitly authorised.
Traduccin
El acceso a la informacin y los documentos deben ser controlados cuidadosamente,
para lo cual solo el personal autorizado pueden tener el acceso a la informacin
sensible
ISO 17799 REFERENCE(S)

9.4.
Network Access Control
102
Policy 020105
Controlling Access to Operating System Software
POLICY
Access to operating system commands is to be restricted to those persons who are
authorised to perform systems administration / management functions. Even then,
such access must be operated under dual control requiring the specific approval of
senior management.
Traduccin
El acceso a los controles del sistema operativo ser restringido a esas personas que
estn autorizadas para realizar la administracin de los sistemas / las funciones de
direccin.

9.5.
Operating System Access Control
Policy 020106
Managing Passwords
POLICY
The selection of passwords, their use and management as a primary means to
control access to systems is to strictly adhere to best practice guidelines. In
particular, passwords shall not be shared with any other person for any reason.
103
Traduccin
La seleccin de contraseas, su uso y administracin como un medio principal de
control de acceso a los sistemas deben ser practicados bajo estrictas pautas. Es decir,
no se compartirn las contraseas con ninguna persona por ninguna razn.

9.2.3
User password management
9.3.1
Password use
9.5.2
Terminal log-on procedures
9.5.3
User identification and authentication
9.5.4
Password management system
Policy 020109
Monitoring System Access and Use
POLICY
Access is to be logged and monitored to identify potential misuse of systems or
information.
104
Traduccin
El acceso ser registrado y se supervisado para identificar el mal uso de los sistemas
o informacin.

9.7.2
Monitoring system use
Policy 050206
Installing and Maintaining Network Cabling
POLICY
Network cabling should be installed and maintained by qualified engineers to
ensure the integrity of both the cabling and the wall mounted sockets. Any unused
network wall sockets should be sealed-off and their status formally noted.
Traduccin
El cableado de red debe ser instalado y mantenido por los ingenieros calificados
para asegurar la integridad tanto de los cables como los conectores de la pared.
Cualquier conector sin usarse debe ser sellado

7.2.3
Cabling security
105
Policy 050405
Moving Hardware from One Location to Another
POLICY
Any movement of hardware between the organisation's locations is to be strictly
controlled by authorised personnel.
Traduccin
Cualquier cambio de lugar de hardware entre las diferentes localidades de la
organizacin deben ser estrictamente controladas por el personal autorizado

7.2
Equipment security
Policy 050601
Managing and Using Hardware Documentation
POLICY
Hardware documentation must be kept up-to-date and readily available to the
staff who are authorised to support or maintain systems.
106
Traduccin
La documentacin del hardware debe estar disponible al personal autorizado para
dar soporte y mantenimiento a los sistemas.

5.1.1(a) Inventory of assets
8.6.4 Security of system documentation
Policy 050602
Maintaining a Hardware Inventory or Register
POLICY
A formal Hardware Inventory of all equipment is to be maintained and kept up to
date at all times.
Traduccin
Un Inventario del Hardware oficial de todos los equipos debe ser mantenido y
guardarse actualizado en todo momento.

5.1.1
Inventory of assets
107
Policy 050709
Maintaining Hardware (On-site or Off-site Support)
POLICY
All equipment owned, leased or licensed by the organisation must be supported by
appropriate maintenance facilities from qualified engineers.
Traduccin
"Todo los equipos propios, arrendados o licenciados por la organizacin deben ser
mantenidos apropiadamente por ingenieros calificados."

7.2.4
Equipment maintenance
Policy 050711
Cleaning of Keyboards and Screens
POLICY
Only suitable and approved cleaning materials are to be used on equipment
owned by the organisation.
108
Traduccin
Slo materiales de limpieza apropiados sern usados sobre el equipo posedo por el
organizacin

7.2.4
Policy 050712
Damage to Equipment
POLICY
Deliberate or accidental damage to organisation property must be reported to the
nominated Information Security Officer as soon as it is noticed.
Traduccin
El dao deliberado o accidental a una propiedad de la organizacin debe informar al
Encargado de Seguridad

7.2.4(c)
8.4.3
Fault logging
109
Policy 060108
Handling Hoax Virus Warnings
POLICY
"Procedures to deal with hoax virus warnings are to be implemented and
maintained."
Traduccin
Los procedimientos para tratar con las amenazas de virus sern llevados a cabo y se
mantendrn

4.1.3
Allocation of information security responsibilities
8.3.1
Controls against malicious software
Policy 060109
Defending Against Virus Attacks
POLICY
"Without exception, Anti Virus software is to be deployed across all PCs with
regular virus definition updates and scanning across both servers, PCs and laptop
computers."
110
Traduccin
Sin excepcin, el software Anti Virus ser instalado en todas las PCs con sus
respectivas actualizaciones al da y examinando por ambos servidores, PCs y
computadoras porttiles

8.3.1
Controls against malicious software.
111

Tesis

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Tesis

Enviado por

Direitos autorais:

Formatos disponíveis

UNIVERSIDAD POLITCNICA

Tesina Previa a la Obtencin

Paola Alicia Glvez Palomeque.

Ing. Miguel ngel Ziga P.

Certifico que bajo mi direccin se desarroll

Los conceptos desarrollados, anlisis realizados

5. Descripcin del problema

3.1.3. ISO 17799

2. Objeto y Campo de Aplicacin

4. Conceptos Aplicados del Estndar

2. Descripcin y Anlisis de la Situacin Actual

2.2.1.2.4. rea Seguridad y Acceso Fsico

1.2 Objetivos especficos.

Realizar un anlisis sobre la situacin actual en la que se encuentra el

Disear un plan de seguridad a travs de un anlisis de riesgos del

Disear polticas de seguridad tanto fsicas como lgicas apropiadas para

Dichas polticas son esencialmente orientaciones e instrucciones que indican cmo

La estimacin preliminar de los riegos es el punto de partida para el establecimiento

La Universidad Politcnica Salesiana, institucin educativa de gran trayectoria, que

Pero el crecimiento de las redes junto con la globalizacin mundial ha ocasionado

Creemos que es necesario contribuir en la mejora de lineamientos y tcticas basados

preservar la seguridad fsica y lgico del

Es por esta razn que se ha visto la necesidad de disear un Manual de Polticas de

5. Descripcin del problema.

Perdida de partes de HW o dao en el software del equipo.

Acceso al servicio de usuarios no autorizados, y que son ajenos a

Perdida de productividad debido al uso no relacionado con temas

Inconformidad en los estudiantes que necesitan y no pueden

En base a los riesgos mencionados anteriormente creemos que es importante

El trmino poltica de seguridad se suele definir como el conjunto de requisitos

B. Fraser, RFC 2196, 1997

Nuestra definicin de Poltica de Seguridad

Una poltica de seguridad es una manifestacin clara y precisa de lo que esta

2. Definicin de una Poltica de Seguridad

Joel Weise, Sun BluePrints, 2001

La segunda regla importante: la poltica debe adecuarse a nuestras necesidades

Si una poltica de seguridad debe adecuarse a las necesidades y recursos es

2.1 Anlisis de Riesgos

El anlisis que desarrollaremos tendr el propsito de determinar cules de los

2.1.1 Procedimiento del Anlisis de Riesgo.

Poltica de Seguridad , www.Rediris.es , 2000.

a. Descripcin y Anlisis de la Situacin Actual.

Cuales son los recursos que posee la organizacin hardware y software,

Cuales son sus estrategias de seguridad actuales.

Finalmente con el anlisis de seguridad se puede establecer como estn

Este proceso se lo puede realizar con la elaboracin de Listas de chequeo (Cfr.

En la identificacin de activos se determina cuales son los distintos activos

c. Tasacin de los activos.

d. Definicin de Factores de riesgos y asignacin de probabilidades.

e. Descripcin de consecuencias y medidas existente.

f. Clculo de niveles de vulnerabilidad.

Porcentaje de probabilidad del riesgo.

El clculo de estos valores es explicado claramente en captulos posteriores (Cfr.

3. Seleccin de Estndar de Normalizacin.

Los principales estndares conocidos para la normalizacin de las Polticas de

A continuacin exponemos a breves rasgos cada uno de ellos.

Este manual es una gua para establecer polticas y

seguridad que se puede obtener gratuitamente en Internet, y puede ser

B. Fraser, RFC 2196 1997

Este documento trata entre otros, los siguientes temas:

1. Que es una Poltica de Seguridad y porque es necesaria.

2. Que es lo que hace que una Poltica de Seguridad sea

3. Manteniendo la Poltica Flexible.

b. Arquitectura de Red y de Servicios